Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prevención del suplente confuso entre servicios
El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. EnAWS, el confuso problema de un diputado puede surgir debido a la suplantación de identidad entre servicios. La suplantación de identidad entre servicios puede ocurrir cuando un servicio (el servicio que llama) invoca a otro servicio (el servicio llamado) y aprovecha los permisos elevados del servicio llamado para actuar sobre recursos a los que el servicio que llama no tiene autorización para acceder. Para evitar el acceso no autorizado a través del confuso problema de los intermediarios, AWS proporciona herramientas que ayudan a proteger los datos en todos los servicios. Estas herramientas le ayudan a controlar los permisos que se conceden a los directores de servicio y limitan su acceso únicamente a los recursos de su cuenta que son necesarios. Al administrar cuidadosamente los privilegios de acceso de los directores de servicio, puede ayudar a mitigar el riesgo de que los servicios accedan indebidamente a datos o recursos para los que no deberían tener permisos.
Siga leyendo para obtener una guía general o consulte un ejemplo de una función específica SageMaker :
Temas
- Límite de permisos con claves de condición globales
- SageMaker Administrador perimetral
- SageMaker Imágenes
- SageMaker Inferencia
- SageMaker Trabajos de transformación por lotes
- SageMaker Marketplace
- SageMaker Neo
- SageMaker Oleoductos
- SageMaker Trabajos de procesamiento
- SageMaker Estudio
- SageMaker Trabajos de formación
Límite de permisos con claves de condición globales
Recomendamos utilizar las claves de condición aws:SourceAccount global aws:SourceArn y las claves de condición globales en las políticas de recursos para limitar los permisos al recurso que Amazon SageMaker concede a otro servicio. Si utiliza claves de contexto de condición globales y el valor de aws:SourceArn contiene el ID de la cuenta, el valor de aws:SourceAccount y la cuenta en el valor de aws:SourceArn deben utilizar el mismo ID de cuenta cuando se utiliza en la misma instrucción de política. Utilice aws:SourceArn si desea que solo se asocie un recurso al acceso entre servicios. Utilice aws:SourceAccount si quiere permitir que cualquier recurso de esa cuenta se asocie al uso entre servicios.
La forma más eficaz de protegerse contra el problema del suplente confuso es utilizar la clave de condición global de aws:SourceArn con el ARN completo del recurso. Si no conoce el ARN completo del recurso o si especifica varios recursos, utilice la clave de condición global aws:SourceArn con comodines (*) para las partes desconocidas del ARN. Por ejemplo, arn:aws:sagemaker:*:.123456789012:*
En el siguiente ejemplo, se muestra cómo utilizar las claves de condición aws:SourceArn y las claves de condición aws:SourceAccount globales SageMaker para evitar el confuso problema de los diputados.
{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, # Specify an action and resource policy for another service "Action": "service:ActionName", "Resource": [ "arn:aws:service:::ResourceName/*" ], "Condition": { "ArnLike": { "aws:SourceArn": "arn:partition:sagemaker:region:123456789012:*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } }
SageMaker Administrador perimetral
En el siguiente ejemplo, se muestra cómo utilizar la clave de condición aws:SourceArn global para evitar el confuso problema de suplentes entre servicios en SageMaker Edge Manager, creado por el número de cuenta 123456789012 en la región US-west-2.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*" } } } }
Puede reemplazar el aws:SourceArn de esta plantilla por el ARN completo de un trabajo de empaquetado específico para limitar aún más los permisos.
SageMaker Imágenes
En el siguiente ejemplo, se muestra cómo se puede utilizar la clave de condición aws:SourceArn global para evitar que el problema de las SageMaker imágenes sea confuso y confuso entre servicios. Utilice esta plantilla con Image o ImageVersion. En este ejemplo, se utiliza un ARN de registro ImageVersion con el número de cuenta 123456789012. Tenga en cuenta que, dado que el número de cuenta forma parte del valor aws:SourceArn, no necesita especificar ningún valor aws:SourceAccount.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:partition:sagemaker:us-west-2:123456789012:image-version" } } } }
No sustituya el aws:SourceArn de esta plantilla por el ARN completo de una imagen o versión de imagen específica. El ARN debe estar en el formato indicado anteriormente y especificar una image o image-version. El marcador de posición partition debe designar una partición comercial de AWS (aws) o una partición de AWS en China (aws-cn), según el lugar en el que se esté ejecutando la imagen o la versión de la imagen. Del mismo modo, el region marcador de posición del ARN puede ser cualquier región válida en la que SageMaker haya imágenes disponibles.
SageMaker Inferencia
En el siguiente ejemplo, se muestra cómo se puede utilizar la clave de condición aws:SourceArn global para evitar el problema de los adjuntos confusos entre servicios a la hora de realizar inferencias SageMaker asíncronas, sin servidor y en tiempo real. Tenga en cuenta que, dado que el número de cuenta forma parte del valor aws:SourceArn, no necesita especificar ningún valor aws:SourceAccount.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*" } } } }
No sustituya el aws:SourceArn de esta plantilla por el ARN completo de un modelo o punto de conexión específico. El ARN debe estar en el formato indicado anteriormente. El asterisco de la plantilla de ARN no significa comodín y no debe cambiarse.
SageMaker Trabajos de transformación por lotes
En el siguiente ejemplo, se muestra cómo se puede utilizar la clave de condición Tenga en cuenta que, dado que el número de cuenta está en el ARN, no necesita especificar un valor aws:SourceArn global para evitar el confuso problema de suplentes entre servicios en los trabajos de transformación por SageMaker lotes creados con el número de cuenta 123456789012 en la región US-west-2.aws:SourceAccount.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:transform-job/*" } } } ] }
Puede reemplazar el aws:SourceArn de esta plantilla por el ARN completo de un trabajo de transformación por lotes específico para limitar aún más los permisos.
SageMaker Marketplace
En el siguiente ejemplo, se muestra cómo se puede utilizar la clave de condición Tenga en cuenta que, dado que el número de cuenta está en el ARN, no necesita especificar un valor aws:SourceArn global para evitar el problema de los diputados confusos entre servicios para los recursos de SageMaker Marketplace creados con el número de cuenta 123456789012 en la región us-west-2.aws:SourceAccount.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*" } } } ] }
No sustituya el aws:SourceArn de esta plantilla por el ARN completo de un paquete específico de algoritmos o modelos. El ARN debe estar en el formato indicado anteriormente. El asterisco de la plantilla ARN significa comodín y abarca todos los trabajos de formación, los modelos y los trabajos de transformación por lotes desde los pasos de validación, así como los paquetes de algoritmos y modelos publicados en Marketplace. SageMaker
SageMaker Neo
En el siguiente ejemplo, se muestra cómo se puede utilizar la clave de condición Tenga en cuenta que, dado que el número de cuenta está en el ARN, no necesita especificar un valor aws:SourceArn global para evitar el confuso problema de suplentes entre servicios en los trabajos de compilación de SageMaker Neo creados con el número de cuenta 123456789012 en la región US-West-2.aws:SourceAccount.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:compilation-job/*" } } } ] }
Puede reemplazar el aws:SourceArn de esta plantilla por el ARN completo de un trabajo de compilación específico para limitar aún más los permisos.
SageMaker Oleoductos
En el siguiente ejemplo, se muestra cómo se puede utilizar la clave de condición aws:SourceArn global para evitar que las tuberías que utilizan registros de ejecución de canalizaciones de una o más SageMaker canalizaciones se vuelvan confusas y confusas entre servicios. Tenga en cuenta que, dado que el número de cuenta está en el ARN, no necesita especificar un valor aws:SourceAccount.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:partition:sagemaker:region:123456789012:pipeline/mypipeline/*" } } } ] }
No sustituya el aws:SourceArn de esta plantilla por el ARN completo de una ejecución de canalización específica. El ARN debe estar en el formato indicado anteriormente. El marcador de posición partition debe designar una partición comercial de AWS (aws) o una partición de AWS en China (aws-cn), según el lugar en el que se esté ejecutando la canalización. Del mismo modo, el region marcador de posición del ARN puede ser cualquier región válida en la que Pipelines esté SageMaker disponible.
El asterisco de la plantilla ARN significa comodín y abarca todas las ejecuciones de canalización de una canalización denominada mypipeline. Si quieres conceder permisos AssumeRole para todas las canalizaciones de la cuenta 123456789012 en lugar de para una canalización específica, entonces el aws:SourceArn sería arn:aws:sagemaker:*:123456789012:pipeline/*.
SageMaker Trabajos de procesamiento
En el siguiente ejemplo, se muestra cómo se puede utilizar la clave de condición Tenga en cuenta que, dado que el número de cuenta está en el ARN, no necesita especificar un valor aws:SourceArn global para evitar el confuso problema de los suplentes entre servicios al SageMaker procesar los trabajos creados por el número de cuenta 123456789012 en la región US-West-2.aws:SourceAccount.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:processing-job/*" } } } ] }
Puede reemplazar el aws:SourceArn de esta plantilla por el ARN completo de un trabajo de procesamiento específico para limitar aún más los permisos.
SageMaker Estudio
En el siguiente ejemplo, se muestra cómo se puede utilizar la clave de condición Tenga en cuenta que, dado que el número de cuenta forma parte del valor aws:SourceArn global para evitar el confuso problema de suplentes entre servicios de SageMaker Studio creado por el número de cuenta 123456789012 en la región US-west-2.aws:SourceArn, no necesita especificar ningún valor aws:SourceAccount.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*" } } } ] }
No sustituya el aws:SourceArn de esta plantilla por el ARN completo de una aplicación, perfil de usuario o dominio específicos de Studio. El ARN debe estar en el formato proporcionado en el ejemplo anterior. El asterisco de la plantilla de ARN no significa comodín y no debe cambiarse.
SageMaker Trabajos de formación
El siguiente ejemplo muestra cómo se puede utilizar la clave de condición Tenga en cuenta que, dado que el número de cuenta está en el ARN, no necesita especificar un valor aws:SourceArn global para evitar el confuso problema de los diputados entre servicios en los puestos de SageMaker formación creados por el número de cuenta 123456789012 en la región de EE. UU. y West-2.aws:SourceAccount.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:training-job/*" } } } ] }
Puede reemplazar el aws:SourceArn de esta plantilla por el ARN completo de un trabajo de entrenamiento específico para limitar aún más los permisos.
Tema siguiente
