高度なアクセスコントロール - Amazon SageMaker AI
リモートアクセスの適用タグベースのアクセス制御

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

高度なアクセスコントロール

Amazon SageMaker AI は、属性ベースのアクセス制御 (ABAC) をサポートし、ABAC ポリシーを使用してリモート Visual Studio Code 接続のきめ細かなアクセスコントロールを実現します。以下は、リモート VS Code 接続の ABAC ポリシーの例です。

リモートアクセスの適用

sagemaker:RemoteAccess 条件キーを使用して、リソースへのアクセスを制御します。これは、CreateSpaceUpdateSpace API の両方でサポートされています。次の例では CreateSpace を使用しています。

リモートアクセスが有効になっているスペースをユーザーが作成できないようにすることができます。これにより、アクセス設定の制限が強化され、セキュリティを維持できます。次のポリシーにより、ユーザーは以下を実行できます。

  • リモートアクセスが明示的に無効になっている新しい Studio スペースを作成する。

  • リモートアクセス設定を指定せずに、新しい Studio スペースを作成する。

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "DenyCreateSpaceRemoteAccessEnabled",
            "Effect": "Deny",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:RemoteAccess": [
                        "ENABLED"
                    ]
                }
            }
        },
        {
            "Sid": "AllowCreateSpace",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*"
        }
    ]
}

タグベースのアクセス制御

タグベースのアクセスコントロールを実装すると、リソースタグとプリンシパルタグに基づいて接続を制限できます。

ユーザーは、自分自身のロールとプロジェクトの割り当てに適したリソースにのみアクセスできるようになります。次のポリシーを使用すると、以下が可能です。

  • 割り当てられたチーム、環境、コストセンターに一致するスペースにのみ接続することをユーザーに許可する。

  • 組織構造に基づいて、きめ細かいアクセスコントロールを実装する。

次の例では、スペースに次のタグが付けられています。

{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }

リソースタグとプリンシパルタグのを照合するために、ロールに次のポリシーを追加できます。

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnTaggedSpacesInDomain",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
                    "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
                    "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}",
                    "aws:ResourceTag/IDC_UserName": "${aws:PrincipalTag/IDC_UserName}"
                }
            }
        }
    ]
}

ロールのタグが一致すると、ユーザーはセッションを開始し、自分自身のスペースにリモート接続するアクセス許可を持つことができます。詳細については、「タグを使用した AWS リソースへのアクセスの制御」を参照してください。