Aplicación del acceso remoto Control de acceso basado en etiquetas

Control de acceso avanzado

Amazon SageMaker AI admite el control de acceso basado en atributos (ABAC) para lograr un control de acceso detallado para las conexiones remotas de Visual Studio Code mediante políticas ABAC. A continuación, se muestran ejemplos de políticas de ABAC para conexiones remotas de VS Code.

Aplicación del acceso remoto

Controle el acceso a los recursos mediante la clave de sagemaker:RemoteAccess condición. Esto es compatible con CreateSpace y UpdateSpace APIs. El siguiente ejemplo utiliza CreateSpace.

Puede asegurarse de que los usuarios no puedan crear espacios con el acceso remoto activado. Esto ayuda a mantener la seguridad al establecer de forma predeterminada una configuración de acceso más restringida. La siguiente política garantiza que los usuarios puedan:

Cree nuevos espacios de estudio en los que el acceso remoto esté deshabilitado de forma explícita
Cree nuevos espacios de estudio sin especificar ninguna configuración de acceso remoto


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyCreateSpaceRemoteAccessEnabled",
            "Effect": "Deny",
            "Action": "sagemaker:CreateSpace",
            "Resource": "arn:aws:sagemaker:*:*:space/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:RemoteAccess": [
                        "ENABLED"
                    ]
                }
            }
        },
        {
            "Sid": "AllowCreateSpace",
            "Effect": "Allow",
            "Action": "sagemaker:CreateSpace",
            "Resource": "arn:aws:sagemaker:*:*:space/*"
        }
    ]
}

Control de acceso basado en etiquetas

Implemente un control de acceso basado en etiquetas para restringir las conexiones en función de los recursos y las etiquetas principales.

Puede asegurarse de que los usuarios solo puedan acceder a los recursos adecuados para sus funciones y asignaciones de proyectos. Puede usar la siguiente política para:

Permita que los usuarios se conecten solo a los espacios que coincidan con su equipo, entorno y centro de costes asignados
Implemente un control de acceso detallado basado en la estructura organizativa

En el ejemplo siguiente, el espacio se etiqueta con lo siguiente:


{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }

Puede tener un rol que contenga la siguiente política para hacer coincidir las etiquetas de recursos y principales:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
                    "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
                    "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

Cuando las etiquetas del rol coinciden, el usuario tiene permiso para iniciar la sesión y conectarse de forma remota a su espacio. Consulte Controlar el acceso a AWS los recursos mediante etiquetas para obtener más información.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configura el acceso remoto

Configura una subred privada sin acceso a Internet