本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 進階存取控制
<a name="remote-access-remote-setup-abac"></a>

Amazon SageMaker AI 支援[屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)，以使用 ABAC 政策實現遠端 IDE 連線的精細存取控制。以下是遠端 IDE 連線的 ABAC 政策範例。

**Topics**
+ [遠端存取強制執行](#remote-access-remote-setup-abac-remote-access-enforcement)
+ [標籤型存取控制](#remote-access-remote-setup-abac-tag-based-access-control)

## 遠端存取強制執行
<a name="remote-access-remote-setup-abac-remote-access-enforcement"></a>

使用 `sagemaker:RemoteAccess` 條件金鑰控制對資源的存取。`CreateSpace` 和 `UpdateSpace` API 都支援此動作。以下範例使用 `CreateSpace`。

您可以確保使用者無法在啟用遠端存取的情況下建立空間。這可透過預設為更多限制的存取設定來協助維護安全性。以下政策確保使用者可以：
+ 建立明確停用遠端存取的新 Studio 空間
+ 建立新的 Studio 空間，而不指定任何遠端存取設定

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyCreateSpaceRemoteAccessEnabled",
            "Effect": "Deny",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:RemoteAccess": [
                        "ENABLED"
                    ]
                }
            }
        },
        {
            "Sid": "AllowCreateSpace",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*"
        }
    ]
}
```

------

## 標籤型存取控制
<a name="remote-access-remote-setup-abac-tag-based-access-control"></a>

實作[標籤型](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/what-are-tags.html)存取控制，根據資源和主體標籤來限制連線。

您可以確保使用者只能存取適合其角色和專案指派的資源。您可以使用下列政策：
+ 允許使用者只連線到符合其指派團隊、環境和成本中心的空間
+ 根據組織結構實作精細存取控制

在下列範例中，空間會加上下列標籤：

```
{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }
```

您可以擁有一個包含下列政策的角色，以符合資源和主體標籤：

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnTaggedSpacesInDomain",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
                    "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
                    "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}",
                    "aws:ResourceTag/IDC_UserName": "${aws:PrincipalTag/IDC_UserName}"
                }
            }
        }
    ]
}
```

------

當角色的標籤相符時，使用者具有啟動工作階段並遠端連線至其空間的許可。如需詳細資訊，請參閱[使用標籤控制對 AWS 資源的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。