進階存取控制 - Amazon SageMaker AI
遠端存取強制執行標籤式存取控制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

進階存取控制

Amazon SageMaker AI 支援屬性型存取控制 (ABAC),以使用 ABAC 政策實現遠端 Visual Studio Code 連線的精細存取控制。以下是遠端 VS Code 連線的 ABAC 政策範例。

遠端存取強制執行

使用 sagemaker:RemoteAccess條件金鑰控制對 資源的存取。CreateSpaceUpdateSpace APIs 都支援此功能。以下範例使用 CreateSpace

您可以確保使用者無法在啟用遠端存取的情況下建立空間。這可透過預設為更受限的存取設定來協助維護安全性。下列政策可確保使用者可以:

  • 建立明確停用遠端存取的新 Studio 空間

  • 建立新的 Studio 空間,而不指定任何遠端存取設定

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyCreateSpaceRemoteAccessEnabled",
            "Effect": "Deny",
            "Action": "sagemaker:CreateSpace",
            "Resource": "arn:aws:sagemaker:*:*:space/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:RemoteAccess": [
                        "ENABLED"
                    ]
                }
            }
        },
        {
            "Sid": "AllowCreateSpace",
            "Effect": "Allow",
            "Action": "sagemaker:CreateSpace",
            "Resource": "arn:aws:sagemaker:*:*:space/*"
        }
    ]
}

標籤式存取控制

實作標籤型存取控制,根據資源和委託人標籤來限制連線。

您可以確保使用者只能存取適合其角色和專案指派的資源。您可以使用下列政策來:

  • 允許使用者只連線到符合其指派團隊、環境和成本中心的空間

  • 根據組織結構實作精細存取控制

在下列範例中,空格會加上下列標籤:

{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }

您可以擁有包含下列政策的角色,以符合資源和委託人標籤:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
                    "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
                    "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

當角色的標籤相符時,使用者具有啟動工作階段並遠端連線至其空間的許可。如需詳細資訊, AWS 請參閱使用標籤控制對 資源的存取