高级访问控制

Amazon SageMaker AI 支持基于属性的访问控制 (ABAC)，从而使用 ABAC 策略对远程 Visual Studio Code 连接实现精细的访问控制。以下是远程 VS Code 连接的 ABAC 策略示例。

远程访问强制执行

使用sagemaker:RemoteAccess条件键控制对资源的访问权限。这得到CreateSpace和的支持UpdateSpace APIs。下面的示例使用了 CreateSpace。

您可以确保用户无法在启用远程访问的情况下创建空间。通过默认使用更受限制的访问设置，这有助于维护安全性。以下政策确保用户可以：

创建明确禁用远程访问的新 Studio 空间
无需指定任何远程访问设置即可创建新的 Studio 空间


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyCreateSpaceRemoteAccessEnabled",
            "Effect": "Deny",
            "Action": "sagemaker:CreateSpace",
            "Resource": "arn:aws:sagemaker:*:*:space/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:RemoteAccess": [
                        "ENABLED"
                    ]
                }
            }
        },
        {
            "Sid": "AllowCreateSpace",
            "Effect": "Allow",
            "Action": "sagemaker:CreateSpace",
            "Resource": "arn:aws:sagemaker:*:*:space/*"
        }
    ]
}

基于标签的访问控制

实施基于标签的访问控制，以根据资源和主体标签限制连接。

您可以确保用户只能访问适合其角色和项目分配的资源。您可以使用以下策略来：

仅允许用户连接到与其分配的团队、环境和成本中心相匹配的空间
根据组织结构实施细粒度的访问控制

在以下示例中，空间被标记为以下内容：


{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }

您可以让一个包含以下策略的角色来匹配资源和委托人标签：


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
                    "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
                    "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

当角色的标签匹配时，用户有权启动会话并远程连接到其空间。有关更多信息，请参阅使用标签控制对 AWS 资源的访问权限。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

设置远程访问

设置无法访问互联网的私有子网