Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Dienstübergreifende Prävention für verwirrte Abgeordnete
Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine Entität, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine Entität mit größeren Rechten zwingen kann, die Aktion auszuführen. In kann AWSdas Problem des verwirrten Stellvertreters aufgrund eines serviceübergreifenden Identitätswechsels auftreten. Ein serviceübergreifender Identitätswechsel kann auftreten, wenn ein Service (der aufrufende Service ) einen anderen Service (den aufgerufenen Service ) aufruft und die erhöhten Berechtigungen des aufgerufenen Services nutzt, um auf Ressourcen zu reagieren, auf die der aufrufende Service keine Zugriffsberechtigung hat. Um unbefugten Zugriff durch das Confused-Deputy-Problem zu verhindern, AWS bietet Tools, mit denen Sie Ihre Daten serviceübergreifend schützen können. Diese Tools helfen Ihnen, die Berechtigungen zu steuern, die Service-Prinzipalen gewährt werden, und beschränken ihren Zugriff auf die Ressourcen in Ihrem Konto, die erforderlich sind. Durch die sorgfältige Verwaltung der Zugriffsrechte von Service-Prinzipalen können Sie dazu beitragen, das Risiko zu verringern, dass Services unsachgemäß auf Daten oder Ressourcen zugreifen, für die sie keine Berechtigungen haben sollten.
Lesen Sie weiter, um allgemeine Anleitungen zu erhalten, oder navigieren Sie zu einem Beispiel für ein bestimmtes SageMaker Feature:
Themen
Beschränken Sie Berechtigungen mit globalen Bedingungsschlüsseln
Wir empfehlen die Verwendung der aws:SourceAccount
globalen Bedingungsschlüssel aws:SourceArn
und in Ressourcenrichtlinien, um die Berechtigungen auf die Ressource zu beschränken, die Amazon einem anderen Service SageMaker erteilt. Wenn Sie beide globalen Konditionsschlüssel verwenden und der aws:SourceArn
Wert die Konto-ID enthält, müssen der aws:SourceAccount
Wert und das Konto im aws:SourceArn
Wert die gleiche Konto-ID verwenden, wenn sie in der gleichen Richtlinienanweisung verwendet werden. Verwenden Sie aws:SourceArn
, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie aws:SourceAccount
, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden.
Der wirksamste Schutz gegen das Problem der verwechselten Stellvertreter ist die Verwendung des aws:SourceArn
globalen Bedingungsschlüssels mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den aws:SourceArn
globalen Bedingungsschlüssel mit Platzhaltern (*
) für die unbekannten Teile des ARN. Zum Beispiel arn:aws:sagemaker:*:
.123456789012
:*
Das folgende Beispiel zeigt, wie Sie die aws:SourceAccount
globalen Bedingungsschlüssel aws:SourceArn
und in verwenden können SageMaker , um das Confused-Deputy-Problem zu vermeiden.
{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, # Specify an action and resource policy for another service "Action": "
service
:ActionName
", "Resource": [ "arn:aws:service
:::ResourceName
/*" ], "Condition": { "ArnLike": { "aws:SourceArn": "arn:partition
:sagemaker:region
:123456789012
:*" }, "StringEquals": { "aws:SourceAccount": "123456789012
" } } } }
SageMaker Edge Manager
Das folgende Beispiel zeigt, wie Sie den aws:SourceArn
globalen -Bedingungsschlüssel verwenden können, um das serviceübergreifende Confused-Deputy-Problem für SageMaker Edge Manager zu vermeiden, das mit der Kontonummer 123456789012
in der Region us-west-2
erstellt wurde.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:
us-west-2
:123456789012
:*" } } } }
Sie können das aws:SourceArn
in dieser Vorlage enthaltene durch den vollständigen ARN eines bestimmten Paketierungsauftrags ersetzen, um die Berechtigungen weiter einzuschränken.
SageMaker Images
Das folgende Beispiel zeigt, wie Sie den aws:SourceArn
globalen Bedingungsschlüssel verwenden können, um das serviceübergreifende Confused-Deputy-Problem für SageMaker Images zu vermeiden. Verwenden Sie diese Vorlage entweder mit Image
oder ImageVersion
. In diesem Beispiel wird ein ImageVersion
Datensatz-ARN mit der Kontonummer 123456789012
verwendet. Beachten Sie, dass Sie keinen aws:SourceAccount
Wert angeben müssen, da die Kontonummer Teil des aws:SourceArn
Werts ist.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:
partition
:sagemaker:us-west-2
:123456789012
:image-version
" } } } }
Ersetzen Sie das aws:SourceArn
in dieser Vorlage nicht durch den vollständigen ARN eines bestimmten Images oder einer bestimmten Image-Version. Der ARN muss das oben angegebene Format haben und entweder image
oder image-version
angeben. Der partition
Platzhalter sollte entweder eine AWS kommerzielle Partition (aws
) oder eine AWS Partition in China (aws-cn
) bezeichnen, je nachdem, wo das Image oder die Image-Version ausgeführt wird. Ebenso kann der region
Platzhalter im ARN jede gültige Region sein, in der SageMaker Bilder verfügbar sind.
SageMaker Inferenz
Das folgende Beispiel zeigt, wie Sie den aws:SourceArn
globalen Bedingungsschlüssel verwenden können, um das serviceübergreifende Confused-Deputy-Problem für SageMaker Echtzeit-, Serverless- und asynchrone Inferenz zu vermeiden. https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints Beachten Sie, dass Sie keinen aws:SourceAccount
Wert angeben müssen, da die Kontonummer Teil des aws:SourceArn
Werts ist.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:
us-west-2
:123456789012
:*" } } } }
Ersetzen Sie das aws:SourceArn
in dieser Vorlage nicht durch den vollständigen ARN eines bestimmten Modells oder Endpunkts. Der ARN muss in dem oben angegebenen Format vorliegen. Das Sternchen in der ARN-Vorlage steht nicht für Platzhalter und sollte nicht geändert werden.
SageMaker Batch-Transformationsaufträge
Das folgende Beispiel zeigt, wie Sie den aws:SourceArn
globalen Bedingungsschlüssel verwenden können, um das serviceübergreifende Confused-Deputy-Problem für SageMaker Batch-Transformationsaufträge zu vermeiden, die mit der Kontonummer 123456789012
in der Region us-west-2
erstellt wurden. Beachten Sie, dass Sie keinen aws:SourceAccount
Wert angeben müssen, da sich die Kontonummer im ARN befindet.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:
us-west-2
:123456789012
:transform-job/*" } } } ] }
Sie können das aws:SourceArn
in dieser Vorlage enthaltene durch den vollständigen ARN eines bestimmten Batch-Transformationsauftrags ersetzen, um die Berechtigungen weiter einzuschränken.
SageMaker Marketplace
Das folgende Beispiel zeigt, wie Sie den aws:SourceArn
globalen -Bedingungsschlüssel verwenden können, um das serviceübergreifende Confused-Deputy-Problem für SageMaker Marketplace-Ressourcen zu vermeiden, die mit der Kontonummer 123456789012
in der Region us-west-2
erstellt wurden. Beachten Sie, dass Sie keinen aws:SourceAccount
Wert angeben müssen, da sich die Kontonummer im ARN befindet.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:
us-west-2
:123456789012
:*" } } } ] }
Ersetzen Sie das aws:SourceArn
in dieser Vorlage nicht durch den vollständigen ARN eines bestimmten Algorithmus oder Modellpakets. Der ARN muss in dem oben angegebenen Format vorliegen. Das Sternchen in der ARN-Vorlage steht für Platzhalter und deckt alle Trainingsaufträge, Modelle und Batch-Transformationsaufträge aus Validierungsschritten sowie Algorithmus- und Modellpakete ab, die im SageMaker Marketplace veröffentlicht wurden.
SageMaker Neo
Das folgende Beispiel zeigt, wie Sie den aws:SourceArn
globalen Bedingungsschlüssel verwenden können, um das serviceübergreifende Confused-Deputy-Problem für SageMaker Neo-Kompilierungsaufträge zu vermeiden, die mit der Kontonummer 123456789012
in der Region us-west-2
erstellt wurden. Beachten Sie, dass Sie keinen aws:SourceAccount
Wert angeben müssen, da sich die Kontonummer im ARN befindet.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:
us-west-2
:123456789012
:compilation-job/*
" } } } ] }
Sie können das aws:SourceArn
in dieser Vorlage enthaltene durch den vollständigen ARN eines bestimmten Kompilierungsauftrags ersetzen, um die Berechtigungen weiter einzuschränken.
SageMaker Pipelines
Das folgende Beispiel zeigt, wie Sie den aws:SourceArn
globalen Bedingungsschlüssel verwenden können, um das serviceübergreifende Confused-Deputy-Problem für SageMaker Pipelines mithilfe von Pipeline-Ausführungsdatensätzen aus einer oder mehreren Pipelines zu verhindern. Beachten Sie, dass Sie keinen aws:SourceAccount
Wert angeben müssen, da sich die Kontonummer im ARN befindet.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:
partition
:sagemaker:region
:123456789012
:pipeline/mypipeline/*
" } } } ] }
Ersetzen Sie das aws:SourceArn
in dieser Vorlage nicht durch den vollständigen ARN einer bestimmten Pipeline-Ausführung. Der ARN muss in dem oben angegebenen Format vorliegen. Der partition
Platzhalter sollte entweder eine AWS kommerzielle Partition (aws
) oder eine AWS Partition in China (aws-cn
) bezeichnen, je nachdem, wo die Pipeline läuft. Ebenso kann der region
Platzhalter im ARN jede gültige Region sein, in der SageMaker Pipelines verfügbar ist.
Das Sternchen in der ARN-Vorlage steht für Platzhalter und deckt alle Pipeline-Ausführungen einer Pipeline mit dem Namen mypipeline
ab. Wenn Sie die AssumeRole
Berechtigungen für alle Pipelines im Konto 123456789012
und nicht für eine bestimmte Pipeline gewähren möchten, dann wäre der aws:SourceArn
gleich arn:aws:sagemaker:*:123456789012:pipeline/*
.
SageMaker Verarbeitungsaufträge
Das folgende Beispiel zeigt, wie Sie den aws:SourceArn
globalen Bedingungsschlüssel verwenden können, um das serviceübergreifende Confused-Deputy-Problem für die SageMaker Verarbeitung von Aufträgen zu vermeiden, die mit der Kontonummer 123456789012
in der Region us-west-2
erstellt wurden. Beachten Sie, dass Sie keinen aws:SourceAccount
Wert angeben müssen, da sich die Kontonummer im ARN befindet.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:
us-west-2
:123456789012
:processing-job/*
" } } } ] }
Sie können das aws:SourceArn
in dieser Vorlage enthaltene durch den vollständigen ARN eines bestimmten Verarbeitungsauftrags ersetzen, um die Berechtigungen weiter einzuschränken.
SageMaker Studio
Das folgende Beispiel zeigt, wie Sie den aws:SourceArn
globalen -Bedingungsschlüssel verwenden können, um das serviceübergreifende Confused-Deputy-Problem für SageMaker Studio zu vermeiden, das mit der Kontonummer 123456789012
in der Region us-west-2
erstellt wurde. Beachten Sie, dass Sie keinen aws:SourceAccount
Wert angeben müssen, da die Kontonummer Teil des aws:SourceArn
Werts ist.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:
us-west-2
:123456789012
:*" } } } ] }
Ersetzen Sie das aws:SourceArn
in dieser Vorlage nicht durch den vollständigen ARN einer bestimmten Studio-Anwendung, eines Benutzerprofils oder einer Domäne. Der ARN muss das im vorherigen Beispiel angegebene Format sein. Das Sternchen in der ARN-Vorlage steht nicht für Platzhalter und sollte nicht geändert werden.
SageMaker Schulungsaufträge
Das folgende Beispiel zeigt, wie Sie den aws:SourceArn
globalen Bedingungsschlüssel verwenden können, um das serviceübergreifende Confused-Deputy-Problem für SageMaker Schulungsaufträge zu vermeiden, die mit der Kontonummer 123456789012
in der Region us-west-2
erstellt wurden. Beachten Sie, dass Sie keinen aws:SourceAccount
Wert angeben müssen, da sich die Kontonummer im ARN befindet.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:
us-west-2
:123456789012
:training-job/*
" } } } ] }
Sie können das aws:SourceArn
in dieser Vorlage enthaltene durch den vollständigen ARN eines bestimmten Schulungsaufträge ersetzen, um die Berechtigungen weiter einzuschränken.
Nächstes Thema
Weitere Informationen zum Verwalten von Ausführungsrollen finden Sie unter SageMaker Rollen.