Erweiterte Zugriffssteuerung - Amazon SageMaker KI
Durchsetzung des RemotezugriffsTag-basierte Zugriffskontrolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erweiterte Zugriffssteuerung

Amazon SageMaker AI unterstützt die attributebasierte Zugriffskontrolle (ABAC), um eine differenzierte Zugriffskontrolle für Visual Studio Code-Remoteverbindungen mithilfe von ABAC-Richtlinien zu erreichen. Im Folgenden finden Sie Beispiele für ABAC-Richtlinien für VS-Code-Remoteverbindungen.

Durchsetzung des Remotezugriffs

Steuern Sie den Zugriff auf Ressourcen mithilfe des sagemaker:RemoteAccess-Bedingungsschlüssels. Dies wird sowohl von als auch unterstützt. CreateSpace UpdateSpace APIs Im folgenden Beispiel wird CreateSpace verwendet.

Sie können sicherstellen, dass Benutzer keine Bereiche erstellen können, wenn der Remotezugriff aktiviert ist. Dies trägt zur Aufrechterhaltung der Sicherheit bei, indem standardmäßig die Einstellungen für eingeschränkteren Zugriff verwendet werden. Die folgende Richtlinie stellt sicher, dass Benutzer:

  • neue Studio-Bereiche erstellen können, in denen der Remotezugriff ausdrücklich deaktiviert ist.

  • neue Studio-Bereiche erstellen können, ohne Einstellungen für den Remotezugriff anzugeben.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "DenyCreateSpaceRemoteAccessEnabled",
            "Effect": "Deny",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:RemoteAccess": [
                        "ENABLED"
                    ]
                }
            }
        },
        {
            "Sid": "AllowCreateSpace",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*"
        }
    ]
}

Tag-basierte Zugriffskontrolle

Implementieren Sie eine Tag-basierte Zugriffskontrolle, um Verbindungen auf der Grundlage von Ressourcen- und Prinzipal-Tags einzuschränken.

Sie können sicherstellen, dass Benutzer nur auf Ressourcen zugreifen können, die für ihre Rollen- und Projektzuweisungen geeignet sind. Sie können die folgende Richtlinie für Folgendes verwenden:

  • Erlauben Sie Benutzern, sich nur mit Bereichen zu verbinden, die ihrem zugewiesenen Team, ihrer Umgebung und ihrer Kostenstelle entsprechen.

  • Implementieren Sie differenzierte Zugriffskontrolle auf der Grundlage der Organisationsstruktur.

Im folgenden Beispiel wird der Bereich wie folgt gekennzeichnet:

{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }

Sie können über eine Rolle verfügen, die die folgende Richtlinie zum Abgleichen von Ressourcen- und Prinzipal-Tags enthält:

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnTaggedSpacesInDomain",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
                    "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
                    "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}",
                    "aws:ResourceTag/IDC_UserName": "${aws:PrincipalTag/IDC_UserName}"
                }
            }
        }
    ]
}

Wenn die Tags der Rolle übereinstimmen, ist der Benutzer berechtigt, die Sitzung zu starten und eine Remoteverbindung zu seinem Bereich herzustellen. Weitere Informationen finden Sie unter Steuerung des Zugriffs auf AWS-Ressourcen mithilfe von Tags.