翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
高度なアクセスコントロール
Amazon SageMaker AI は、属性ベースのアクセスコントロール (ABAC) をサポートし、ABAC ポリシーを使用してリモート Visual Studio Code 接続のきめ細かなアクセスコントロールを実現します。リモート VS Code 接続の ABAC ポリシーの例を次に示します。
リモートアクセスの適用
sagemaker:RemoteAccess 条件キーを使用してリソースへのアクセスを制御します。これは、 CreateSpaceと UpdateSpace APIs。次の例では CreateSpace を使用しています。
リモートアクセスが有効になっているスペースをユーザーが作成できないようにすることができます。これにより、アクセス設定がより制限され、セキュリティが維持されます。次のポリシーにより、ユーザーは以下を確実に実行できます。
-
リモートアクセスが明示的に無効になっている新しい Studio スペースを作成する
-
リモートアクセス設定を指定せずに新しい Studio スペースを作成する
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyCreateSpaceRemoteAccessEnabled", "Effect": "Deny", "Action": "sagemaker:CreateSpace", "Resource": "arn:aws:sagemaker:*:*:space/*", "Condition": { "StringEquals": { "sagemaker:RemoteAccess": [ "ENABLED" ] } } }, { "Sid": "AllowCreateSpace", "Effect": "Allow", "Action": "sagemaker:CreateSpace", "Resource": "arn:aws:sagemaker:*:*:space/*" } ] }
タグベースのアクセス制御
タグベースのアクセスコントロールを実装して、リソースタグとプリンシパルタグに基づいて接続を制限します。
ユーザーが自分のロールとプロジェクトの割り当てに適したリソースにのみアクセスできることを確認できます。次のポリシーを使用して、次のことができます。
-
割り当てられたチーム、環境、コストセンターに一致するスペースにのみ接続することをユーザーに許可する
-
組織構造に基づいてきめ細かなアクセスコントロールを実装する
次の例では、スペースに次のタグが付けられています。
{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }
リソースタグとプリンシパルタグを照合するために、次のポリシーを含むロールを持つことができます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor", "Effect": "Allow", "Action": [ "sagemaker:StartSession" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}", "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}", "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}" } } } ] }
ロールのタグが一致すると、ユーザーはセッションを開始し、自分のスペースにリモート接続するアクセス許可を持ちます。詳細については、AWS 「タグを使用してリソースへのアクセスを制御する」を参照してください。
