Control de acceso avanzado - Amazon SageMaker AI
Aplicación del acceso remotoControl de acceso basado en etiquetas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Control de acceso avanzado

Amazon SageMaker AI admite el control de acceso basado en atributos (ABAC) para lograr un control de acceso detallado para las conexiones remotas de Visual Studio Code mediante políticas ABAC. A continuación, se muestran ejemplos de políticas de ABAC para conexiones remotas de Visual Studio Code.

Aplicación del acceso remoto

Controle el acceso a los recursos con la clave de condición sagemaker:RemoteAccess. Esto es compatible con y. CreateSpace UpdateSpace APIs El siguiente ejemplo utiliza CreateSpace.

Puede garantizar que los usuarios no puedan crear espacios con el acceso remoto activado. Esto ayuda a mantener la seguridad pues se establece una configuración de acceso más restringida de forma predeterminada. Con la siguiente política, los usuarios pueden:

  • Crear nuevos espacios de Studio en los que el acceso remoto está deshabilitado de forma explícita.

  • Crear nuevos espacios de Studio sin especificar ninguna configuración de acceso remoto.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "DenyCreateSpaceRemoteAccessEnabled",
            "Effect": "Deny",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:RemoteAccess": [
                        "ENABLED"
                    ]
                }
            }
        },
        {
            "Sid": "AllowCreateSpace",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*"
        }
    ]
}

Control de acceso basado en etiquetas

Implemente un control de acceso basado en etiquetas para restringir las conexiones en función de los recursos y las etiquetas de entidad principal.

Puede asegurarse de que los usuarios solo puedan acceder a los recursos adecuados según su rol y las asignaciones de proyectos. Puede utilizar la siguiente política para:

  • Permita que los usuarios se conecten solo a los espacios que coincidan con el equipo, entorno y centro de costos asignados.

  • Implementar el control de acceso detallado basado en la estructura organizativa.

En el siguiente ejemplo, el espacio se etiqueta con lo siguiente:

{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }

Puede tener un rol que contenga la siguiente política para hacer coincidir las etiquetas de recursos y entidad principal:

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnTaggedSpacesInDomain",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
                    "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
                    "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}",
                    "aws:ResourceTag/IDC_UserName": "${aws:PrincipalTag/IDC_UserName}"
                }
            }
        }
    ]
}

Cuando las etiquetas del rol coinciden, el usuario tiene permiso para iniciar la sesión y conectarse de forma remota a su espacio. Para obtener más información, consulte Control de acceso a los recursos de AWS mediante etiquetas.