Kontrol akses tingkat lanjut - Amazon SageMaker AI
Penegakan akses jarak jauhKontrol akses berbasis tag

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol akses tingkat lanjut

Amazon SageMaker AI mendukung kontrol akses berbasis atribut (ABAC) untuk mencapai kontrol akses berbutir halus untuk koneksi Visual Studio Code jarak jauh menggunakan kebijakan ABAC. Berikut ini adalah contoh kebijakan ABAC untuk koneksi VS Code jarak jauh.

Penegakan akses jarak jauh

Kontrol akses ke sumber daya menggunakan tombol sagemaker:RemoteAccess kondisi. Ini didukung oleh keduanya CreateSpace dan UpdateSpace APIs. Contoh berikut menggunakan CreateSpace.

Anda dapat memastikan bahwa pengguna tidak dapat membuat spasi dengan akses jarak jauh diaktifkan. Ini membantu menjaga keamanan dengan default ke pengaturan akses yang lebih terbatas. Kebijakan berikut memastikan pengguna dapat:

  • Buat ruang Studio baru di mana akses jarak jauh dinonaktifkan secara eksplisit

  • Buat ruang Studio baru tanpa menentukan pengaturan akses jarak jauh

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyCreateSpaceRemoteAccessEnabled",
            "Effect": "Deny",
            "Action": "sagemaker:CreateSpace",
            "Resource": "arn:aws:sagemaker:*:*:space/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:RemoteAccess": [
                        "ENABLED"
                    ]
                }
            }
        },
        {
            "Sid": "AllowCreateSpace",
            "Effect": "Allow",
            "Action": "sagemaker:CreateSpace",
            "Resource": "arn:aws:sagemaker:*:*:space/*"
        }
    ]
}

Kontrol akses berbasis tag

Menerapkan kontrol akses berbasis tag untuk membatasi koneksi berdasarkan sumber daya dan tag utama.

Anda dapat memastikan pengguna hanya dapat mengakses sumber daya yang sesuai untuk peran dan tugas proyek mereka. Anda dapat menggunakan kebijakan berikut untuk:

  • Izinkan pengguna untuk terhubung hanya ke spasi yang cocok dengan tim, lingkungan, dan pusat biaya yang ditetapkan

  • Menerapkan kontrol akses berbutir halus berdasarkan struktur organisasi

Dalam contoh berikut, spasi ditandai dengan yang berikut:

{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }

Anda dapat memiliki peran yang berisi kebijakan berikut untuk mencocokkan sumber daya dan tag utama:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
                    "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
                    "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

Ketika tag peran cocok, pengguna memiliki izin untuk memulai sesi dan terhubung dari jarak jauh ke ruang mereka. Lihat Mengontrol akses ke AWS sumber daya menggunakan tag untuk informasi selengkapnya.