기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
고급 액세스 제어
Amazon SageMaker AI는 속성 기반 액세스 제어(ABAC)를 지원하여 ABAC 정책을 사용하는 원격 Visual Studio Code 연결에 대한 세분화된 액세스 제어를 달성합니다. 다음은 원격 VS Code 연결을 위한 ABAC 정책의 예입니다.
원격 액세스 적용
sagemaker:RemoteAccess 조건 키를 사용하여 리소스에 대한 액세스를 제어합니다. 이는 CreateSpace 및 UpdateSpace APIs. 다음 예에는 CreateSpace가 사용됩니다.
사용자가 원격 액세스가 활성화된 공백을 생성할 수 없도록 할 수 있습니다. 이렇게 하면 기본적으로 액세스 설정이 더 제한되어 보안을 유지할 수 있습니다. 다음 정책은 사용자가 다음을 수행할 수 있도록 합니다.
-
원격 액세스가 명시적으로 비활성화된 새 Studio 스페이스 생성
-
원격 액세스 설정을 지정하지 않고 새 Studio 스페이스 생성
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyCreateSpaceRemoteAccessEnabled", "Effect": "Deny", "Action": "sagemaker:CreateSpace", "Resource": "arn:aws:sagemaker:*:*:space/*", "Condition": { "StringEquals": { "sagemaker:RemoteAccess": [ "ENABLED" ] } } }, { "Sid": "AllowCreateSpace", "Effect": "Allow", "Action": "sagemaker:CreateSpace", "Resource": "arn:aws:sagemaker:*:*:space/*" } ] }
태그 기반 액세스 제어
태그 기반 액세스 제어를 구현하여 리소스 및 보안 주체 태그를 기반으로 연결을 제한합니다.
사용자가 역할 및 프로젝트 할당에 적합한 리소스에만 액세스할 수 있도록 할 수 있습니다. 다음 정책을 사용하여 다음을 수행할 수 있습니다.
-
사용자가 할당된 팀, 환경 및 비용 센터와 일치하는 공간에만 연결하도록 허용
-
조직 구조를 기반으로 세분화된 액세스 제어 구현
다음 예제에서는 스페이스에 다음과 같은 태그가 지정됩니다.
{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }
리소스 및 보안 주체 태그와 일치하도록 다음 정책이 포함된 역할을 가질 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor", "Effect": "Allow", "Action": [ "sagemaker:StartSession" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}", "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}", "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}" } } } ] }
역할의 태그가 일치하면 사용자는 세션을 시작하고 스페이스에 원격으로 연결할 수 있는 권한이 있습니다. 자세한 내용은 태그를 사용하여 리소스에 AWS 대한 액세스 제어를 참조하세요.
