本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
進階存取控制
Amazon SageMaker AI 支援屬性型存取控制 (ABAC),以使用 ABAC 政策實現遠端 Visual Studio Code 連線的精細存取控制。以下是遠端 VS Code 連線的範例 ABAC 政策。
遠端存取強制執行
使用 sagemaker:RemoteAccess 條件金鑰控制對資源的存取。CreateSpace 和 UpdateSpace API 都支援此動作。以下範例使用 CreateSpace。
您可以確保使用者無法在啟用遠端存取的情況下建立空間。這可透過預設為更多限制的存取設定來協助維護安全性。以下政策確保使用者可以:
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyCreateSpaceRemoteAccessEnabled",
"Effect": "Deny",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/*",
"Condition": {
"StringEquals": {
"sagemaker:RemoteAccess": [
"ENABLED"
]
}
}
},
{
"Sid": "AllowCreateSpace",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/*"
}
]
}
標籤型存取控制
實作標籤型存取控制,根據資源和主體標籤來限制連線。
您可以確保使用者只能存取適合其角色和專案指派的資源。您可以使用下列政策:
在下列範例中,空間會加上下列標籤:
{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }
您可以擁有一個包含下列政策的角色,以符合資源和主體標籤:
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictStartSessionOnTaggedSpacesInDomain",
"Effect": "Allow",
"Action": [
"sagemaker:StartSession"
],
"Resource": [
"arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
"aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
"aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}",
"aws:ResourceTag/IDC_UserName": "${aws:PrincipalTag/IDC_UserName}"
}
}
}
]
}
當角色的標籤相符時,使用者具有啟動工作階段並遠端連線至其空間的許可。如需詳細資訊,請參閱使用標籤控制對 AWS 資源的存取。
