

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 고급 액세스 제어
<a name="remote-access-remote-setup-abac"></a>

Amazon SageMaker AI는 [속성 기반 액세스 제어(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)를 지원하여 ABAC 정책을 사용하는 원격 IDE 연결에 대한 세분화된 액세스 제어를 달성합니다. 다음은 원격 IDE 연결에 대한 ABAC 정책의 예입니다.

**Topics**
+ [원격 액세스 적용](#remote-access-remote-setup-abac-remote-access-enforcement)
+ [태그 기반 액세스 제어](#remote-access-remote-setup-abac-tag-based-access-control)

## 원격 액세스 적용
<a name="remote-access-remote-setup-abac-remote-access-enforcement"></a>

`sagemaker:RemoteAccess` 조건 키를 사용하여 리소스에 대한 액세스를 제어합니다. 이는 `CreateSpace` 및 `UpdateSpace` API로 지원됩니다. 다음 예에는 `CreateSpace`가 사용됩니다.

원격 액세스가 활성화된 채로 사용자가 스페이스를 생성하지 못하게 할 수 있습니다. 이렇게 하면 기본적으로 액세스 설정이 더 제한되어 보안을 유지할 수 있습니다. 다음 정책을 사용하면 사용자는 다음이 가능합니다.
+ 원격 액세스가 명시적으로 비활성화된 새 Studio 스페이스 생성
+ 원격 액세스 설정을 지정하지 않고 새 Studio 스페이스 생성

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyCreateSpaceRemoteAccessEnabled",
            "Effect": "Deny",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:RemoteAccess": [
                        "ENABLED"
                    ]
                }
            }
        },
        {
            "Sid": "AllowCreateSpace",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*"
        }
    ]
}
```

------

## 태그 기반 액세스 제어
<a name="remote-access-remote-setup-abac-tag-based-access-control"></a>

[태그 기반](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/what-are-tags.html) 액세스 제어를 구현하여 리소스 및 위탁자 태그를 기반으로 연결을 제한합니다.

사용자가 역할 및 프로젝트 업무에 적합한 리소스에만 액세스할 수 있도록 할 수 있습니다. 다음과 같이 정책을 사용할 수 있습니다.
+ 사용자가 할당된 팀, 환경 및 비용 센터와 매칭되는 스페이스에만 연결하도록 허용
+ 조직 구조를 기반으로 세분화된 액세스 제어 구현

다음 예시에서는 스페이스에 다음과 같은 태그가 지정되어 있습니다.

```
{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }
```

리소스 및 위탁자 태그와 매칭되도록 다음 정책이 포함된 역할을 가질 수 있습니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnTaggedSpacesInDomain",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
                    "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
                    "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}",
                    "aws:ResourceTag/IDC_UserName": "${aws:PrincipalTag/IDC_UserName}"
                }
            }
        }
    ]
}
```

------

역할의 태그가 매칭되면 사용자는 세션을 시작하고 스페이스에 원격으로 연결할 수 있는 권한이 있습니다. 자세한 내용은 [태그를 사용한 AWS 리소스 액세스 제어](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)를 참조하세요.