Erweiterte Zugriffssteuerung - Amazon SageMaker AI
Durchsetzung des RemotezugriffsTag-basierte Zugriffskontrolle

Erweiterte Zugriffssteuerung

Amazon SageMaker AI unterstützt die attributbasierte Zugriffskontrolle (ABAC), um mithilfe von ABAC-Richtlinien eine differenzierte Zugriffskontrolle für Remoteverbindungen von Visual Studio Code zu erreichen. Im Folgenden finden Sie Beispiele für ABAC-Richtlinien für VS-Code-Remoteverbindungen.

Durchsetzung des Remotezugriffs

Steuern Sie den Zugriff auf Ressourcen mithilfe des sagemaker:RemoteAccess-Bedingungsschlüssels. Dies wird sowohl von CreateSpace- als auch von UpdateSpace-APIs unterstützt. Im folgenden Beispiel wird CreateSpace verwendet.

Sie können sicherstellen, dass Benutzer keine Bereiche erstellen können, wenn der Remotezugriff aktiviert ist. Dies trägt zur Aufrechterhaltung der Sicherheit bei, indem standardmäßig die Einstellungen für eingeschränkteren Zugriff verwendet werden. Die folgende Richtlinie stellt sicher, dass Benutzer:

  • neue Studio-Bereiche erstellen können, in denen der Remotezugriff ausdrücklich deaktiviert ist.

  • neue Studio-Bereiche erstellen können, ohne Einstellungen für den Remotezugriff anzugeben.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyCreateSpaceRemoteAccessEnabled",
            "Effect": "Deny",
            "Action": "sagemaker:CreateSpace",
            "Resource": "arn:aws:sagemaker:*:*:space/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:RemoteAccess": [
                        "ENABLED"
                    ]
                }
            }
        },
        {
            "Sid": "AllowCreateSpace",
            "Effect": "Allow",
            "Action": "sagemaker:CreateSpace",
            "Resource": "arn:aws:sagemaker:*:*:space/*"
        }
    ]
}

Tag-basierte Zugriffskontrolle

Implementieren Sie eine Tag-basierte Zugriffskontrolle, um Verbindungen auf der Grundlage von Ressourcen- und Prinzipal-Tags einzuschränken.

Sie können sicherstellen, dass Benutzer nur auf Ressourcen zugreifen können, die für ihre Rollen- und Projektzuweisungen geeignet sind. Sie können die folgende Richtlinie für Folgendes verwenden:

  • Erlauben Sie Benutzern, sich nur mit Bereichen zu verbinden, die ihrem zugewiesenen Team, ihrer Umgebung und ihrer Kostenstelle entsprechen.

  • Implementieren Sie differenzierte Zugriffskontrolle auf der Grundlage der Organisationsstruktur.

Warnung

Die im folgenden Beispiel gezeigte Tag-basierte Zugriffskontrollrichtlinie dient nur zu Demonstrationszwecken. Sie sollten "Resource": "*" nicht in einer Produktionsumgebung verwenden. Die Verwendung zu freizügiger Ressourcendefinitionen kann zu unbeabsichtigtem unbefugtem Zugriff führen. Sie sollten den Ressourcenbereich in Ihren IAM-Richtlinien immer einschränken, um bewährte Methoden zu befolgen.

Im folgenden Beispiel wird der Bereich wie folgt gekennzeichnet:

{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }

Sie können über eine Rolle verfügen, die die folgende Richtlinie zum Abgleichen von Ressourcen- und Prinzipal-Tags enthält:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
                    "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
                    "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

Wenn die Tags der Rolle übereinstimmen, ist der Benutzer berechtigt, die Sitzung zu starten und eine Remoteverbindung zu seinem Bereich herzustellen. Weitere Informationen finden Sie unter Steuerung des Zugriffs auf AWS-Ressourcen mithilfe von Tags.