Controle de acesso avançado - SageMaker IA da Amazon
Imposição do acesso remotoControle de acesso com base em tags

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle de acesso avançado

O Amazon SageMaker AI oferece suporte ao controle de acesso baseado em atributos (ABAC) para obter um controle de acesso refinado para conexões remotas do Visual Studio Code usando políticas ABAC. A seguir são apresentados exemplos de políticas de ABAC para conexões remotas do VS Code.

Imposição do acesso remoto

Controle o acesso aos recursos usando a chave de condição sagemaker:RemoteAccess. Isso é suportado por CreateSpace UpdateSpace APIs e. O exemplo a seguir usa CreateSpace.

É possível garantir que os usuários não consigam criar espaços com o acesso remoto habilitado. Isso ajuda a manter a segurança, usando configurações de acesso mais restritas por padrão. A seguinte política garante que os usuários possam:

  • Criar espaços do Studio onde o acesso remoto esteja explicitamente desabilitado.

  • Criar espaços do Studio sem especificar nenhuma configuração de acesso remoto.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "DenyCreateSpaceRemoteAccessEnabled",
            "Effect": "Deny",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:RemoteAccess": [
                        "ENABLED"
                    ]
                }
            }
        },
        {
            "Sid": "AllowCreateSpace",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*"
        }
    ]
}

Controle de acesso com base em tags

Implemente o controle de acesso baseado em tags para restringir conexões de acordo com os recursos e as tags de entidade principal.

Você pode garantir que os usuários possam acessar somente os recursos apropriados para as respectivas atribuições de perfil e projeto. Você pode usar a seguinte política para:

  • Permitir que os usuários se conectem somente a espaços que correspondam à equipe, ao ambiente e ao centro de custos designados.

  • Implementar controle de acesso refinado com base na estrutura organizacional.

No exemplo a seguir, o espaço é marcado com o seguinte:

{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }

Você pode ter um perfil que contenha a seguinte política para estabelecer correspondência com as tags de recurso e de entidade principal:

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnTaggedSpacesInDomain",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
                    "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
                    "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}",
                    "aws:ResourceTag/IDC_UserName": "${aws:PrincipalTag/IDC_UserName}"
                }
            }
        }
    ]
}

Quando as tags do perfil correspondem à política, o usuário tem permissão para iniciar a sessão e se conectar remotamente ao espaço dele. Para ter mais informações, consulte Controlar o acesso a recursos da AWS usando tags.