Erweiterte Zugriffskontrolle - Amazon SageMaker KI
Durchsetzung des FernzugriffsTag-basierte Zugriffskontrolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erweiterte Zugriffskontrolle

Amazon SageMaker AI unterstützt die attributebasierte Zugriffskontrolle (ABAC), um eine differenzierte Zugriffskontrolle für Visual Studio Code-Remoteverbindungen mithilfe von ABAC-Richtlinien zu erreichen. Im Folgenden finden Sie Beispiele für ABAC-Richtlinien für VS Code-Remoteverbindungen.

Durchsetzung des Fernzugriffs

Steuern Sie den Zugriff auf Ressourcen mithilfe des sagemaker:RemoteAccess Bedingungsschlüssels. Dies wird sowohl von als CreateSpace auch unterstützt UpdateSpace APIs. Im folgenden Beispiel wird verwende CreateSpace.

Sie können sicherstellen, dass Benutzer keine Bereiche mit aktiviertem Fernzugriff erstellen können. Dies trägt zur Aufrechterhaltung der Sicherheit bei, indem standardmäßig die Einstellungen für eingeschränkteren Zugriff verwendet werden. Die folgende Richtlinie stellt sicher, dass Benutzer:

  • Erstellen Sie neue Studio-Bereiche, in denen der Fernzugriff explizit deaktiviert ist

  • Erstellen Sie neue Studio-Bereiche, ohne Einstellungen für den Fernzugriff anzugeben

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyCreateSpaceRemoteAccessEnabled",
            "Effect": "Deny",
            "Action": "sagemaker:CreateSpace",
            "Resource": "arn:aws:sagemaker:*:*:space/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:RemoteAccess": [
                        "ENABLED"
                    ]
                }
            }
        },
        {
            "Sid": "AllowCreateSpace",
            "Effect": "Allow",
            "Action": "sagemaker:CreateSpace",
            "Resource": "arn:aws:sagemaker:*:*:space/*"
        }
    ]
}

Tag-basierte Zugriffskontrolle

Implementieren Sie eine Tag-basierte Zugriffskontrolle, um Verbindungen auf der Grundlage von Ressourcen- und Prinzipal-Tags einzuschränken.

Sie können sicherstellen, dass Benutzer nur auf Ressourcen zugreifen können, die für ihre Rollen- und Projektzuweisungen geeignet sind. Sie können die folgende Richtlinie verwenden, um:

  • Erlauben Sie Benutzern, sich nur mit Bereichen zu verbinden, die ihrem zugewiesenen Team, der Umgebung und der Kostenstelle entsprechen

  • Implementieren Sie eine differenzierte Zugriffskontrolle auf der Grundlage der Organisationsstruktur

Im folgenden Beispiel ist der Bereich wie folgt gekennzeichnet:

{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }

Sie können über eine Rolle verfügen, die die folgende Richtlinie zum Abgleichen von Ressourcen- und Prinzipal-Tags enthält:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
                    "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
                    "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

Wenn die Tags der Rolle übereinstimmen, ist der Benutzer berechtigt, die Sitzung zu starten und eine Remoteverbindung zu seinem Bereich herzustellen. Weitere Informationen finden Sie unter Steuern des Zugriffs auf AWS Ressourcen mithilfe von Stichwörtern.