Contrôle d'accès avancé - Amazon SageMaker AI
Application de l'accès à distanceContrôle d’accès basé sur les étiquettes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle d'accès avancé

Amazon SageMaker AI prend en charge le contrôle d'accès basé sur les attributs (ABAC) afin d'obtenir un contrôle d'accès précis pour les connexions Visual Studio Code distantes à l'aide de politiques ABAC. Voici des exemples de politiques ABAC pour les connexions VS Code distantes.

Application de l'accès à distance

Contrôlez l'accès aux ressources à l'aide de la clé de sagemaker:RemoteAccess condition. Ceci est soutenu à la fois par CreateSpace et UpdateSpace APIs. L’exemple suivant utilise CreateSpace.

Vous pouvez vous assurer que les utilisateurs ne peuvent pas créer d'espaces lorsque l'accès à distance est activé. Cela permet de maintenir la sécurité en utilisant par défaut des paramètres d'accès plus restreints. La politique suivante garantit que les utilisateurs peuvent :

  • Créez de nouveaux espaces Studio où l'accès à distance est explicitement désactivé

  • Créez de nouveaux espaces Studio sans spécifier de paramètres d'accès à distance

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyCreateSpaceRemoteAccessEnabled",
            "Effect": "Deny",
            "Action": "sagemaker:CreateSpace",
            "Resource": "arn:aws:sagemaker:*:*:space/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:RemoteAccess": [
                        "ENABLED"
                    ]
                }
            }
        },
        {
            "Sid": "AllowCreateSpace",
            "Effect": "Allow",
            "Action": "sagemaker:CreateSpace",
            "Resource": "arn:aws:sagemaker:*:*:space/*"
        }
    ]
}

Contrôle d’accès basé sur les étiquettes

Mettez en œuvre un contrôle d'accès basé sur des balises pour restreindre les connexions en fonction des balises de ressource et des balises principales.

Vous pouvez vous assurer que les utilisateurs ne peuvent accéder qu'aux ressources adaptées à leur rôle et à leurs attributions de projet. Vous pouvez utiliser la politique suivante pour :

  • Permettre aux utilisateurs de se connecter uniquement aux espaces correspondant à l'équipe, à l'environnement et au centre de coûts qui leur ont été assignés

  • Mettre en œuvre un contrôle d'accès précis basé sur la structure organisationnelle

Dans l'exemple suivant, l'espace est étiqueté comme suit :

{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }

Vous pouvez avoir un rôle contenant la politique suivante pour faire correspondre les balises de ressource et les balises principales :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
                    "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
                    "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

Lorsque les balises du rôle correspondent, l'utilisateur est autorisé à démarrer la session et à se connecter à distance à son espace. Voir Contrôler l'accès aux AWS ressources à l'aide de balises pour plus d'informations.