View a markdown version of this page

Erweiterte Zugriffssteuerung - Amazon SageMaker KI
Durchsetzung des RemotezugriffsTag-basierte Zugriffskontrolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erweiterte Zugriffssteuerung

Amazon SageMaker AI unterstützt die attributebasierte Zugriffskontrolle (ABAC), um mithilfe von ABAC-Richtlinien eine differenzierte Zugriffskontrolle für Remote-IDE-Verbindungen zu erreichen. Im Folgenden finden Sie Beispiele für ABAC-Richtlinien für Remote-IDE-Verbindungen.

Durchsetzung des Remotezugriffs

Steuern Sie den Zugriff auf Ressourcen mithilfe des sagemaker:RemoteAccess-Bedingungsschlüssels. Dies wird sowohl von als auch CreateSpace unterstützt. UpdateSpace APIs Im folgenden Beispiel wird CreateSpace verwendet.

Sie können sicherstellen, dass Benutzer keine Bereiche erstellen können, wenn der Remotezugriff aktiviert ist. Dies trägt zur Aufrechterhaltung der Sicherheit bei, indem standardmäßig die Einstellungen für eingeschränkteren Zugriff verwendet werden. Die folgende Richtlinie stellt sicher, dass Benutzer:

  • neue Studio-Bereiche erstellen können, in denen der Remotezugriff ausdrücklich deaktiviert ist.

  • neue Studio-Bereiche erstellen können, ohne Einstellungen für den Remotezugriff anzugeben.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "DenyCreateSpaceRemoteAccessEnabled",
            "Effect": "Deny",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:RemoteAccess": [
                        "ENABLED"
                    ]
                }
            }
        },
        {
            "Sid": "AllowCreateSpace",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*"
        }
    ]
}

Tag-basierte Zugriffskontrolle

Implementieren Sie eine Tag-basierte Zugriffskontrolle, um Verbindungen auf der Grundlage von Ressourcen- und Prinzipal-Tags einzuschränken.

Sie können sicherstellen, dass Benutzer nur auf Ressourcen zugreifen können, die für ihre Rollen- und Projektzuweisungen geeignet sind. Sie können die folgende Richtlinie für Folgendes verwenden:

  • Erlauben Sie Benutzern, sich nur mit Bereichen zu verbinden, die ihrem zugewiesenen Team, ihrer Umgebung und ihrer Kostenstelle entsprechen.

  • Implementieren Sie differenzierte Zugriffskontrolle auf der Grundlage der Organisationsstruktur.

Im folgenden Beispiel wird der Bereich wie folgt gekennzeichnet:

{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }

Sie können über eine Rolle verfügen, die die folgende Richtlinie zum Abgleichen von Ressourcen- und Prinzipal-Tags enthält:

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnTaggedSpacesInDomain",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
                    "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
                    "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}",
                    "aws:ResourceTag/IDC_UserName": "${aws:PrincipalTag/IDC_UserName}"
                }
            }
        }
    ]
}

Wenn die Tags der Rolle übereinstimmen, ist der Benutzer berechtigt, die Sitzung zu starten und eine Remoteverbindung zu seinem Bereich herzustellen. Weitere Informationen finden Sie unter Steuerung des Zugriffs auf AWS -Ressourcen mithilfe von Tags.