Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Isolamento delle risorse di dominio
**Importante**
Le politiche IAM personalizzate che consentono ad Amazon SageMaker Studio o Amazon SageMaker Studio Classic di creare SageMaker risorse Amazon devono inoltre concedere le autorizzazioni per aggiungere tag a tali risorse. L’autorizzazione per aggiungere tag alle risorse è necessaria perché Studio e Studio Classic applicano automaticamente tag a tutte le risorse che creano. Se una policy IAM consente a Studio e Studio Classic di creare risorse ma non consente l'etichettatura, possono verificarsi errori AccessDenied "" durante il tentativo di creare risorse. Per ulteriori informazioni, consulta [Fornisci le autorizzazioni per etichettare SageMaker le risorse AI](security_iam_id-based-policy-examples.md#grant-tagging-permissions).
[AWS politiche gestite per Amazon SageMaker AI](security-iam-awsmanpol.md)che danno i permessi per creare SageMaker risorse includono già le autorizzazioni per aggiungere tag durante la creazione di tali risorse.
Puoi isolare le risorse tra ciascuno dei domini del tuo account e Regione AWS utilizzare una policy AWS Identity and Access Management (IAM). Non sarà più possibile accedere alle risorse isolate da altri domini. In questo argomento verranno descritte le condizioni richieste per la policy IAM e come applicarle.
I tipi di risorse che possono essere isolati da questa policy sono quelli con chiavi di condizione contenenti `aws:ResourceTag/${TagKey}` o `sagemaker:ResourceTag/${TagKey}`. Per un riferimento sulle risorse SageMaker AI e le chiavi di condizione associate, consulta [Azioni, risorse e chiavi di condizione per Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html).
**avvertimento**
I tipi di risorse che *non* contengono le chiavi di condizione di cui sopra (e di conseguenza le [Azioni](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) che utilizzano i tipi di risorse) *non* sono interessati da questa policy di isolamento delle risorse. Ad esempio, il tipo di risorsa [pipeline-execution](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-pipeline-execution) *non* contiene le chiavi di condizione di cui sopra e *non* è interessato da questa policy. Di conseguenza, le azioni seguenti, con il tipo di risorsa pipeline-execution, *non* sono supportate per l’isolamento delle risorse:
DescribePipelineExecution
StopPipelineExecution
UpdatePipelineExecution
RetryPipelineExecution
DescribePipelineDefinitionForExecution
ListPipelineExecutionSteps
SendPipelineExecutionStepSuccess
SendPipelineExecutionStepFailure
L’argomento seguente mostra come creare una nuova policy IAM che limiti l’accesso alle risorse del dominio ai profili utente con il tag di dominio, nonché come collegare questa policy al ruolo di esecuzione IAM del dominio. Devi ripetere questa procedura per ogni dominio del tuo account. Per ulteriori informazioni sui tag di dominio e sul riempimento di questi tag, consulta [Panoramica sull’utilizzo di più domini](domain-multiple.md).
## Console
La sezione seguente mostra come creare una nuova policy IAM che limiti l'accesso alle risorse del dominio ai profili utente con il tag domain, nonché come collegare questa policy al ruolo di esecuzione IAM del dominio, dalla console Amazon SageMaker AI.
**Nota**
Questa politica funziona solo nei domini che utilizzano Amazon SageMaker Studio Classic come esperienza predefinita.
1. Crea una policy IAM denominata `StudioDomainResourceIsolationPolicy-{{domain-id}}` con il seguente documento di policy JSON completando le fasi descritte in [Creazione di policy IAM (console).](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAPIs",
"Effect": "Allow",
"Action": "sagemaker:Create*",
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*"
]
},
{
"Sid": "ResourceAccessRequireDomainTag",
"Effect": "Allow",
"Action": [
"sagemaker:Update*",
"sagemaker:Delete*",
"sagemaker:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:domain-arn": "{{domain-arn}}"
}
}
},
{
"Sid": "AllowActionsThatDontSupportTagging",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeImageVersion",
"sagemaker:UpdateImageVersion",
"sagemaker:DeleteImageVersion",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:DescribeAction"
],
"Resource": "*"
},
{
"Sid": "DeleteDefaultApp",
"Effect": "Allow",
"Action": "sagemaker:DeleteApp",
"Resource": "arn:aws:sagemaker:*:*:app/{{domain-id}}/*/jupyterserver/default"
}
]
}
```
------
1. Collega la policy `StudioDomainResourceIsolationPolicy-{{domain-id}}` al ruolo di esecuzione del dominio completando le fasi descritte in [Modifica di un ruolo (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy).
## AWS CLI
La sezione seguente mostra come creare una nuova policy IAM che limiti l’accesso alle risorse del dominio ai profili utente con il tag di dominio, nonché come collegare questa policy al ruolo di esecuzione del dominio, dalla AWS CLI.
**Nota**
Questa politica funziona solo nei domini che utilizzano Amazon SageMaker Studio Classic come esperienza predefinita.
1. Dal tuo computer locale, crea un file locale denominato `StudioDomainResourceIsolationPolicy-{{domain-id}}` con il seguente contenuto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAPIs",
"Effect": "Allow",
"Action": "sagemaker:Create*",
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*"
]
},
{
"Sid": "ResourceAccessRequireDomainTag",
"Effect": "Allow",
"Action": [
"sagemaker:Update*",
"sagemaker:Delete*",
"sagemaker:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:domain-arn": "{{domain-arn}}"
}
}
},
{
"Sid": "AllowActionsThatDontSupportTagging",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeImageVersion",
"sagemaker:UpdateImageVersion",
"sagemaker:DeleteImageVersion",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:DescribeAction"
],
"Resource": "*"
},
{
"Sid": "DeleteDefaultApp",
"Effect": "Allow",
"Action": "sagemaker:DeleteApp",
"Resource": "arn:aws:sagemaker:*:*:app/{{domain-id}}/*/jupyterserver/default"
}
]
}
```
------
1. Crea una nuova policy IAM utilizzando il file `StudioDomainResourceIsolationPolicy-{{domain-id}}`.
```
aws iam create-policy --policy-name StudioDomainResourceIsolationPolicy-{{domain-id}} --policy-document file://StudioDomainResourceIsolationPolicy-{{domain-id}}
```
1. Collega la policy appena creata a un ruolo nuovo o esistente utilizzato come ruolo di esecuzione del dominio.
```
aws iam attach-role-policy --policy-arn arn:aws:iam:{{account-id}}:policy/StudioDomainResourceIsolationPolicy-{{domain-id}} --role-name {{domain-execution-role}}
```