Applicazione dell'accesso remoto Controllo degli accessi basato su tag

Controllo avanzato degli accessi

Amazon SageMaker AI supporta il controllo degli accessi basato sugli attributi (ABAC) per ottenere un controllo degli accessi granulare per le connessioni remote di Visual Studio Code utilizzando le policy ABAC. Di seguito sono riportati alcuni esempi di politiche ABAC per connessioni VS Code remote.

Applicazione dell'accesso remoto

Controlla l'accesso alle risorse utilizzando la chiave di sagemaker:RemoteAccess condizione. Ciò è supportato da entrambi CreateSpace e UpdateSpace APIs. Nell'esempio seguente viene utilizzato CreateSpace.

È possibile garantire che gli utenti non possano creare spazi con l'accesso remoto abilitato. Questo aiuta a mantenere la sicurezza impostando per impostazione predefinita impostazioni di accesso più limitate. La seguente politica garantisce che gli utenti possano:

Creare nuovi spazi Studio in cui l'accesso remoto è esplicitamente disabilitato
Crea nuovi spazi Studio senza specificare alcuna impostazione di accesso remoto


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyCreateSpaceRemoteAccessEnabled",
            "Effect": "Deny",
            "Action": "sagemaker:CreateSpace",
            "Resource": "arn:aws:sagemaker:*:*:space/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:RemoteAccess": [
                        "ENABLED"
                    ]
                }
            }
        },
        {
            "Sid": "AllowCreateSpace",
            "Effect": "Allow",
            "Action": "sagemaker:CreateSpace",
            "Resource": "arn:aws:sagemaker:*:*:space/*"
        }
    ]
}

Controllo degli accessi basato su tag

Implementa il controllo degli accessi basato su tag per limitare le connessioni in base alle risorse e ai tag principali.

Puoi garantire che gli utenti possano accedere solo alle risorse appropriate per i loro ruoli e le loro assegnazioni di progetto. È possibile utilizzare la seguente politica per:

Consenti agli utenti di connettersi solo agli spazi che corrispondono al team, all'ambiente e al centro di costo assegnati
Implementa un controllo granulare degli accessi basato sulla struttura organizzativa

Nell'esempio seguente, lo spazio è etichettato con quanto segue:


{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }

È possibile assegnare un ruolo che contenga la seguente politica per abbinare i tag delle risorse e dei tag principali:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
                    "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
                    "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

Quando i tag del ruolo corrispondono, l'utente ha il permesso di avviare la sessione e connettersi in remoto al proprio spazio. Per ulteriori informazioni, consulta Controllare l'accesso alle AWS risorse utilizzando i tag.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configura l'accesso remoto

Configura una sottorete privata senza accesso a Internet