Contrôle d’accès avancé - Amazon SageMaker AI
Application de l’accès à distanceContrôle d’accès basé sur les étiquettes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle d’accès avancé

Amazon SageMaker AI prend en charge le contrôle d'accès basé sur les attributs (ABAC) afin d'obtenir un contrôle d'accès précis pour les connexions Visual Studio Code distantes à l'aide de politiques ABAC. Voici des exemples de politiques ABAC pour les connexions VS Code distantes.

Application de l’accès à distance

Contrôlez l’accès aux ressources à l’aide de la clé de condition sagemaker:RemoteAccess. Ceci est soutenu à la fois par CreateSpace et UpdateSpace APIs. L’exemple suivant utilise CreateSpace.

Vous pouvez vous assurer que les utilisateurs ne peuvent pas créer d’espaces avec l’accès à distance activé. Cela permet de maintenir la sécurité en utilisant par défaut des paramètres d’accès plus restreints. La politique suivante garantit aux utilisateurs qu’ils pourront :

  • créer de nouveaux espaces Studio où l’accès à distance est explicitement désactivé ;

  • créer de nouveaux espaces Studio sans spécifier de paramètres d’accès à distance.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "DenyCreateSpaceRemoteAccessEnabled",
            "Effect": "Deny",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:RemoteAccess": [
                        "ENABLED"
                    ]
                }
            }
        },
        {
            "Sid": "AllowCreateSpace",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*"
        }
    ]
}

Contrôle d’accès basé sur les étiquettes

Mettez en œuvre un contrôle d’accès basé sur des balises pour restreindre les connexions en fonction des balises de ressource et de principal.

Vous pouvez vous assurer que les utilisateurs ne peuvent accéder qu’aux ressources appropriées pour leur rôle et pour leurs attributions de projet. Vous pouvez utiliser la politique suivante pour :

  • autoriser les utilisateurs à se connecter uniquement aux espaces correspondant à l’équipe, à l’environnement et au centre de coûts qui leur ont été assignés ;

  • mettre en œuvre un contrôle d’accès précis en fonction de la structure organisationnelle.

Dans l’exemple suivant, l’espace est balisé comme suit :

{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }

Vous pouvez avoir un rôle contenant la politique suivante pour mettre en correspondance les balises de ressource et de principal :

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnTaggedSpacesInDomain",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
                    "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
                    "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}",
                    "aws:ResourceTag/IDC_UserName": "${aws:PrincipalTag/IDC_UserName}"
                }
            }
        }
    ]
}

Lorsque les balises du rôle correspondent, l’utilisateur est autorisé à démarrer la session et à se connecter à distance à son espace. Consultez Contrôle de l’accès aux ressources AWS à l’aide de balises pour plus d’informations.