Controllo degli accessi avanzato - Amazon SageMaker AI
Applicazione dell’accesso remotoControllo degli accessi basato su tag

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo degli accessi avanzato

Amazon SageMaker AI supporta il controllo degli accessi basato sugli attributi (ABAC) per ottenere un controllo degli accessi granulare per le connessioni remote di Visual Studio Code utilizzando le policy ABAC. Di seguito sono riportati alcuni esempi di policy ABAC per le connessioni remote VS Code.

Applicazione dell’accesso remoto

Controlla l’accesso alle risorse utilizzando la chiave di condizione sagemaker:RemoteAccess. Questa funzionalità CreateSpace è UpdateSpace APIs supportata da entrambi e. Nell'esempio seguente viene utilizzato CreateSpace.

Puoi impedire agli utenti di creare spazi con l’accesso remoto abilitato. Limitando le impostazioni predefinite di accesso, puoi garantire una maggiore sicurezza. La policy seguente consente agli utenti di:

  • Creare nuovi spazi Studio in cui l’accesso remoto è esplicitamente disabilitato.

  • Creare nuovi spazi Studio senza specificare alcuna impostazione di accesso remoto.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "DenyCreateSpaceRemoteAccessEnabled",
            "Effect": "Deny",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:RemoteAccess": [
                        "ENABLED"
                    ]
                }
            }
        },
        {
            "Sid": "AllowCreateSpace",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*"
        }
    ]
}

Controllo degli accessi basato su tag

Implementa il controllo degli accessi basato su tag per limitare le connessioni in base ai tag di risorse e principali.

Puoi limitare l’accesso degli utenti esclusivamente alle risorse appropriate per i loro ruoli e le loro assegnazioni di progetto. Puoi utilizzare la policy seguente per:

  • Consentire agli utenti di connettersi solo agli spazi che corrispondono al team, all’ambiente e al centro di costo assegnato.

  • Implementare un controllo granulare degli accessi basato sulla struttura organizzativa.

In questo esempio, lo spazio contiene i tag seguenti:

{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }

È possibile avere un ruolo che contiene la policy seguente che associa i tag delle risorse e i tag dei principali:

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnTaggedSpacesInDomain",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
                    "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
                    "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}",
                    "aws:ResourceTag/IDC_UserName": "${aws:PrincipalTag/IDC_UserName}"
                }
            }
        }
    ]
}

Quando i tag del ruolo corrispondono, l’utente è autorizzato ad avviare la sessione e a connettersi in remoto al proprio spazio. Per ulteriori informazioni, consulta Controllo dell’accesso alle risorse AWS con i tag.