Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Cross-service confusa prevenzione sostitutiva
Il [problema confused deputy](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy) è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, il problema del confuso sostituto può insorgere a causa dell'impersonificazione tra servizi. Cross-service l'impersonificazione può verificarsi quando un servizio (il servizio *chiamante) richiama un altro servizio* (il servizio *chiamato) e sfrutta le autorizzazioni elevate del servizio* chiamato per agire su risorse a cui il servizio chiamante non è autorizzato ad accedere. Per impedire l'accesso non autorizzato dovuto al confuso problema del vicedirettore, AWS fornisce strumenti per proteggere i dati su tutti i servizi. Questi strumenti permettono di controllare le autorizzazioni concesse ai principali dei servizi, limitandone l’accesso alle sole risorse necessarie nell’account. Gestendo attentamente i privilegi di accesso dei principali dei servizi, puoi contribuire a mitigare il rischio che i servizi accedano in modo improprio a dati o risorse per i quali non dovrebbero avere le autorizzazioni.
Continua a leggere per una guida generale o vai a un esempio per una funzionalità di SageMaker intelligenza artificiale specifica:
**Topics**
+ [Limita le autorizzazioni con le chiavi di condizione globali](#security-confused-deputy-context-keys)
+ [SageMaker Edge Manager](#security-confused-deputy-edge-manager)
+ [SageMaker Immagini](#security-confused-deputy-images)
+ [SageMaker Inferenza AI](#security-confused-deputy-inference)
+ [SageMaker Lavori di AI Batch Transform](#security-confused-deputy-batch)
+ [SageMaker Marketplace basato sull'intelligenza artificiale](#security-confused-deputy-marketplace)
+ [SageMaker Neo](#security-confused-deputy-neo)
+ [SageMaker Gasdotti](#security-confused-deputy-pipelines)
+ [SageMaker Lavori di elaborazione](#security-confused-deputy-processing-job)
+ [SageMaker Studio](#security-confused-deputy-studio)
+ [SageMaker Lavori di formazione](#security-confused-deputy-training-job)
## Limita le autorizzazioni con le chiavi di condizione globali
Ti consigliamo di utilizzare le chiavi `[aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)` e `[aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)` global condition nelle politiche delle risorse per limitare le autorizzazioni alla risorsa che Amazon SageMaker AI fornisce a un altro servizio. Se si utilizzano entrambe le chiavi di condizione globali e il valore `aws:SourceArn` contiene l'ID account, il valore `aws:SourceAccount` e l'account nel valore `aws:SourceArn` deve utilizzare lo stesso ID account nella stessa dichiarazione di policy. Utilizzare `aws:SourceArn` se si desidera consentire l'associazione di una sola risorsa all'accesso tra servizi. Utilizzare `aws:SourceAccount` se si desidera consentire l'associazione di qualsiasi risorsa in tale account all'uso tra servizi.
Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di condizione globale `aws:SourceArn` con l'ARN completo della risorsa. Se non si conosce l'ARN completo della risorsa o si scelgono più risorse, è necessario utilizzare la chiave di condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell'ARN. Ad esempio, `arn:aws:sagemaker:*:{{123456789012}}:*`.
L'esempio seguente mostra come utilizzare i tasti `aws:SourceArn` e `aws:SourceAccount` global condition nell' SageMaker intelligenza artificiale per evitare il confuso problema del vice.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "{{sagemaker}}:{{StartSession}}",
"Resource": "arn:aws:{{sagemaker}}:{{us-east-1}}:{{123456789012}}:{{ResourceName}}/*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-east-1}}:{{123456789012}}:*"
},
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
}
}
}
}
```
------
## SageMaker Edge Manager
L'esempio seguente mostra come è possibile utilizzare la chiave di condizione `aws:SourceArn` globale per evitare che SageMaker Edge Manager confonda i diversi servizi in base al numero di account {{123456789012}} nella {{us-west-2}} regione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:*"
}
}
}
}
```
------
Puoi sostituire `aws:SourceArn` contenuto in questo modello con l'ARN completo di un processo di creazione del pacchetto specifico per limitare ulteriormente le autorizzazioni.
## SageMaker Immagini
L'esempio seguente mostra come è possibile utilizzare la chiave `aws:SourceArn` global condition per evitare che si verifichi il problema della confusione tra servizi diversi per [SageMaker Images](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-byoi.html). Usa questo modello con `[Image](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Image.html)` o `[ImageVersion](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ImageVersion.html)`. Questo esempio utilizza un `ImageVersion` record ARN con il numero di account. {{123456789012}} Poiché il numero di account fa parte del valore `aws:SourceArn`, non è necessario specificare un valore `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-east-2}}:{{123456789012}}:{{image-version}}/*"
}
}
}
}
```
------
Non sostituire il valore `aws:SourceArn` contenuto in questo modello con l'ARN completo di un'immagine o di una versione dell'immagine specifica. L'ARN deve corrispondere al formato fornito sopra e specificare `image` o `image-version`. Il `partition` segnaposto deve indicare una partizione AWS commerciale () o una partizione AWS cinese (`aws``aws-cn`), a seconda di dove è in esecuzione l'immagine o la versione dell'immagine. Analogamente, il `region` segnaposto nell'ARN può essere qualsiasi [regione valida](https://docs.aws.amazon.com/sagemaker/latest/dg/regions-quotas.html) in cui SageMaker sono disponibili immagini.
## SageMaker Inferenza AI
[L'esempio seguente mostra come è possibile utilizzare la chiave di condizione `aws:SourceArn` globale per prevenire il problema secondario confuso tra diversi servizi per l' SageMaker inferenza AI [in tempo reale](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints), [senza server](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints) e asincrona.](https://docs.aws.amazon.com/sagemaker/latest/dg/async-inference) Poiché il numero di account fa parte del valore `aws:SourceArn`, non è necessario specificare un valore `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:*"
}
}
}
}
```
------
Non sostituire il valore `aws:SourceArn` contenuto in questo modello con l'ARN completo di un modello o endpoint specifici. L'ARN deve corrispondere al formato fornito sopra. L'asterisco nel modello ARN non rappresenta un carattere jolly e non deve essere modificato.
## SageMaker Lavori di AI Batch Transform
L'esempio seguente mostra come è possibile utilizzare la chiave `aws:SourceArn` global condition per evitare che si [verifichi il problema della confusione tra diversi servizi per i processi di trasformazione in batch](https://docs.aws.amazon.com/sagemaker/latest/dg/batch-transform.html) di SageMaker IA creati in base al numero di account {{123456789012}} nella {{us-west-2}} regione. Poiché il numero di account fa parte di ARN, non è necessario specificare un valore `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:transform-job/*"
}
}
}
]
}
```
------
Puoi sostituire `aws:SourceArn` contenuto in questo modello con l'ARN completo di un processo di trasformazione di batch specifico per limitare ulteriormente le autorizzazioni.
## SageMaker Marketplace basato sull'intelligenza artificiale
L'esempio seguente mostra come è possibile utilizzare la chiave `aws:SourceArn` global condition per evitare che si verifichi il problema dell'interservizio confuso tra servizi per le risorse di SageMaker AI Marketplace create in base al numero di account {{123456789012}} nella {{us-west-2}} regione. Poiché il numero di account fa parte di ARN, non è necessario specificare un valore `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:*"
}
}
}
]
}
```
------
Non sostituire il valore `aws:SourceArn` contenuto in questo modello con l'ARN completo di un algoritmo o pacchetti di modelli specifici. L'ARN deve corrispondere al formato fornito sopra. L'asterisco nel modello ARN sta per wildcard e copre tutti i lavori di formazione, i modelli e i processi di trasformazione in batch derivanti dalle fasi di convalida, nonché i pacchetti di algoritmi e modelli pubblicati su AI Marketplace. SageMaker
## SageMaker Neo
L'esempio seguente mostra come è possibile utilizzare la chiave `aws:SourceArn` global condition per evitare che i job di compilazione di SageMaker Neo creati in base al numero di account {{123456789012}} nella regione si creino confusi tra diversi servizi. {{us-west-2}} Poiché il numero di account fa parte di ARN, non è necessario specificare un valore `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:{{compilation-job/*}}"
}
}
}
]
}
```
------
Puoi sostituire `aws:SourceArn` contenuto in questo modello con l'ARN completo di un processo di compilazione specifico per limitare ulteriormente le autorizzazioni.
## SageMaker Gasdotti
L'esempio seguente mostra come è possibile utilizzare la chiave `aws:SourceArn` global condition per evitare che Pipelines utilizzi i record di esecuzione delle pipeline provenienti da una o più [SageMaker pipeline](https://docs.aws.amazon.com/sagemaker/latest/dg/pipelines-overview.html), generati dalla confusione tra diversi servizi. Poiché il numero di account fa parte di ARN, non è necessario specificare un valore `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-east-1}}:{{123456789012}}:pipeline/{{mypipeline/*}}"
}
}
}
]
}
```
------
Non sostituire `aws:SourceArn` contenuto in questo modello con l'ARN completo di una esecuzione della pipeline specifica. L'ARN deve corrispondere al formato fornito sopra. Il `partition` segnaposto deve indicare una partizione AWS commerciale () o una partizione in AWS Cina (`aws``aws-cn`), a seconda di dove si trova il gasdotto. Analogamente, il `region` segnaposto nell'ARN può essere qualsiasi [regione valida](https://docs.aws.amazon.com/sagemaker/latest/dg/regions-quotas.html) in cui SageMaker è disponibile Pipelines.
L'asterisco nel modello ARN sta per carattere jolly e copre tutte le esecuzioni di pipeline di una pipeline denominata `mypipeline`. Se desideri consentire le autorizzazioni `AssumeRole` per tutte le pipeline dell'account `123456789012` anziché per una pipeline specifica, allora `aws:SourceArn` dovrebbe essere `arn:aws:sagemaker:*:123456789012:pipeline/*`.
## SageMaker Lavori di elaborazione
L'esempio seguente mostra come è possibile utilizzare la chiave `aws:SourceArn` global condition per evitare che i job SageMaker Processing creati in base al numero di conto {{123456789012}} nella {{us-west-2}} regione si verifichino confusi tra diversi servizi. Poiché il numero di account fa parte di ARN, non è necessario specificare un valore `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:{{processing-job/*}}"
}
}
}
]
}
```
------
Puoi sostituire `aws:SourceArn` contenuto in questo modello con l'ARN completo di un processo di elaborazione specifico per limitare ulteriormente le autorizzazioni.
## SageMaker Studio
L'esempio seguente mostra come è possibile utilizzare la chiave di condizione `aws:SourceArn` globale per evitare che si verifichi per SageMaker Studio il problema della confusione tra diversi servizi, creato in base al numero di account {{123456789012}} nella {{us-west-2}} regione. Poiché il numero di account fa parte del valore `aws:SourceArn`, non è necessario specificare un valore `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:*"
}
}
}
]
}
```
------
Non sostituire `aws:SourceArn` contenuto in questo modello con l'ARN completo di un'applicazione Studio, profilo utente o dominio specifici. L'ARN deve corrispondere al formato fornito nell'esempio precedente. L'asterisco nel modello ARN non rappresenta un carattere jolly e non deve essere modificato.
## SageMaker Lavori di formazione
L'esempio seguente mostra come è possibile utilizzare la chiave `aws:SourceArn` global condition per evitare che si verifichi il problema della confusione tra i vari servizi per i posti di lavoro di SageMaker formazione creati in base al numero di conto corrente {{123456789012}} nella {{us-west-2}} Regione. Poiché il numero di account fa parte di ARN, non è necessario specificare un valore `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:{{training-job/*}}"
}
}
}
]
}
```
------
Puoi sostituire `aws:SourceArn` contenuto in questo modello con l'ARN completo di un processo di addestramento specifico per limitare ulteriormente le autorizzazioni.
**Argomento successivo**
Per ulteriori informazioni sulla gestione dei ruoli di esecuzione, consulta [SageMaker AI Roles](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles).