Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Control de acceso avanzado
Amazon SageMaker AI admite el [control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) para lograr un control de acceso detallado para las conexiones IDE remotas mediante políticas ABAC. Los siguientes son ejemplos de políticas de ABAC para conexiones IDE remotas.
**Topics**
+ [Aplicación del acceso remoto](#remote-access-remote-setup-abac-remote-access-enforcement)
+ [Control de acceso basado en etiquetas](#remote-access-remote-setup-abac-tag-based-access-control)
## Aplicación del acceso remoto
Controle el acceso a los recursos con la clave de condición `sagemaker:RemoteAccess`. Esto es compatible con `CreateSpace` y. `UpdateSpace` APIs El siguiente ejemplo utiliza `CreateSpace`.
Puede garantizar que los usuarios no puedan crear espacios con el acceso remoto activado. Esto ayuda a mantener la seguridad pues se establece una configuración de acceso más restringida de forma predeterminada. Con la siguiente política, los usuarios pueden:
+ Crear nuevos espacios de Studio en los que el acceso remoto está deshabilitado de forma explícita.
+ Crear nuevos espacios de Studio sin especificar ninguna configuración de acceso remoto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyCreateSpaceRemoteAccessEnabled",
"Effect": "Deny",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/*",
"Condition": {
"StringEquals": {
"sagemaker:RemoteAccess": [
"ENABLED"
]
}
}
},
{
"Sid": "AllowCreateSpace",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/*"
}
]
}
```
------
## Control de acceso basado en etiquetas
Implemente un control de acceso [basado en etiquetas](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/what-are-tags.html) para restringir las conexiones en función de los recursos y las etiquetas de entidad principal.
Puede asegurarse de que los usuarios solo puedan acceder a los recursos adecuados según su rol y las asignaciones de proyectos. Puede utilizar la siguiente política para:
+ Permita que los usuarios se conecten solo a los espacios que coincidan con el equipo, entorno y centro de costos asignados.
+ Implementar el control de acceso detallado basado en la estructura organizativa.
En el siguiente ejemplo, el espacio se etiqueta con lo siguiente:
```
{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }
```
Puede tener un rol que contenga la siguiente política para hacer coincidir las etiquetas de recursos y entidad principal:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictStartSessionOnTaggedSpacesInDomain",
"Effect": "Allow",
"Action": [
"sagemaker:StartSession"
],
"Resource": [
"arn:aws:sagemaker:{{us-east-1}}:{{111122223333}}:space/{{domain-id}}/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
"aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
"aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}",
"aws:ResourceTag/IDC_UserName": "${aws:PrincipalTag/IDC_UserName}"
}
}
}
]
}
```
------
Cuando las etiquetas del rol coinciden, el usuario tiene permiso para iniciar la sesión y conectarse de forma remota a su espacio. Para obtener más información, consulte [Control de acceso a los recursos de AWS mediante etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).