Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Pencegahan "confused deputy" lintas layanan

PDF
RSS
Mode fokus
Pencegahan "confused deputy" lintas layanan - Amazon SageMaker AI
Batasi Izin Dengan Kunci Kondisi Global SageMaker Manajer Tepi SageMaker Gambar AI SageMaker Inferensi AI SageMaker Pekerjaan AI Batch Transform SageMaker Marketplace AI SageMaker Neo SageMaker Pipa SageMaker Pekerjaan Processing SageMaker Studio SageMaker Lowongan Training

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Masalah confused deputy adalah masalah keamanan saat entitas yang tidak memiliki izin untuk melakukan suatu tindakan dapat memaksa entitas yang lebih berhak untuk melakukan tindakan tersebut. Pada tahun AWS, masalah wakil yang bingung dapat muncul karena peniruan identitas lintas layanan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (layanan panggilan) memanggil layanan lain (layanan yang disebut) dan memanfaatkan izin tinggi layanan yang disebut untuk bertindak atas sumber daya yang tidak memiliki otorisasi untuk diakses oleh layanan panggilan. Untuk mencegah akses tidak sah melalui masalah wakil yang membingungkan, AWS sediakan alat untuk membantu mengamankan data Anda di seluruh layanan. Alat-alat ini membantu Anda mengontrol izin yang diberikan kepada prinsipal layanan, membatasi akses mereka hanya ke sumber daya di akun Anda yang diperlukan. Dengan mengelola hak akses kepala layanan secara hati-hati, Anda dapat membantu mengurangi risiko layanan mengakses data atau sumber daya secara tidak benar yang seharusnya tidak memiliki izin.

Baca terus untuk panduan umum atau arahkan ke contoh untuk fitur SageMaker AI tertentu:

Batasi Izin Dengan Kunci Kondisi Global

Sebaiknya gunakan aws:SourceArn dan kunci kondisi aws:SourceAccount global dalam kebijakan sumber daya untuk membatasi izin ke sumber daya yang diberikan Amazon SageMaker AI kepada layanan lain. Jika Anda menggunakan kunci kondisi global dan aws:SourceArn nilainya berisi ID akun, aws:SourceAccount nilai dan akun dalam aws:SourceArn nilai harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama. Gunakan aws:SourceArn jika Anda ingin hanya satu sumber daya yang akan dikaitkan dengan akses lintas layanan. Gunakan aws:SourceAccount jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan.

Cara paling efektif untuk melindungi dari masalah wakil yang membingungkan adalah dengan menggunakan kunci kondisi aws:SourceArn global dengan ARN penuh sumber daya. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi aws:SourceArn global dengan wildcard (*) untuk bagian ARN yang tidak diketahui. Misalnya, arn:aws:sagemaker:*:123456789012:*.

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan aws:SourceArn dan kunci kondisi aws:SourceAccount global di SageMaker AI untuk mencegah masalah wakil yang membingungkan.

{
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "ConfusedDeputyPreventionExamplePolicy",
    "Effect": "Allow",
    "Principal": {
      "Service": "sagemaker.amazonaws.com"
    },
    # Specify an action and resource policy for another service
    "Action": "service:ActionName",
    "Resource": [
      "arn:aws:service:::ResourceName/*"
    ],
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:partition:sagemaker:region:123456789012:*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }
  }
}

SageMaker Manajer Tepi

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil kebingungan lintas layanan untuk SageMaker Edge Manager yang dibuat berdasarkan nomor akun 123456789012 di us-west-2 Wilayah.

{
  "Version": "2012-10-17",
  "Statement": {
      "Effect": "Allow",
      "Principal": { "Service": "sagemaker.amazonaws.com" },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
      }
    }
  }
}

Anda dapat mengganti aws:SourceArn dalam template ini dengan ARN lengkap dari satu pekerjaan pengemasan tertentu untuk membatasi izin lebih lanjut.

SageMaker Gambar AI

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil lintas layanan yang membingungkan untuk Gambar SageMaker AI. Gunakan template ini dengan salah satu Image atauImageVersion. Contoh ini menggunakan ImageVersion catatan ARN dengan nomor rekening. 123456789012 Perhatikan bahwa karena nomor akun adalah bagian dari aws:SourceArn nilai, Anda tidak perlu menentukan aws:SourceAccount nilai.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": { "Service": "sagemaker.amazonaws.com" },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:partition:sagemaker:us-west-2:123456789012:image-version"
      }
    }
  }
}

Jangan mengganti aws:SourceArn dalam template ini dengan ARN lengkap dari gambar atau versi gambar tertentu. ARN harus dalam format yang disediakan di atas dan tentukan salah satu atauimage. image-version partitionPlaceholder harus menunjuk partisi AWS komersial (aws) atau partisi di AWS Tiongkok (aws-cn), tergantung di mana gambar atau versi gambar berjalan. Demikian pula, region placeholder di ARN dapat berupa Wilayah yang valid di mana gambar SageMaker AI tersedia.

SageMaker Inferensi AI

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil kebingungan lintas layanan untuk inferensi SageMaker AI real-time, tanpa server, dan asinkron. Perhatikan bahwa karena nomor akun adalah bagian dari aws:SourceArn nilai, Anda tidak perlu menentukan aws:SourceAccount nilai.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Principal": { "Service": "sagemaker.amazonaws.com" },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
      }
    }
  }
}

Jangan mengganti template ini dengan ARN lengkap dari model atau titik akhir tertentu. aws:SourceArn ARN harus dalam format yang disediakan di atas. Tanda bintang di template ARN tidak berarti wildcard dan tidak boleh diubah.

SageMaker Pekerjaan AI Batch Transform

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah deputi kebingungan lintas layanan untuk pekerjaan transformasi batch SageMaker AI yang dibuat berdasarkan nomor akun 123456789012 di us-west-2 Wilayah. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. aws:SourceAccount

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "sagemaker.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:transform-job/*"
        }
      }
    }
  ]
}

Anda dapat mengganti aws:SourceArn dalam template ini dengan ARN penuh dari satu pekerjaan transformasi batch tertentu untuk membatasi izin lebih lanjut.

SageMaker Marketplace AI

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil lintas layanan yang membingungkan untuk sumber daya SageMaker AI Marketplace yang dibuat berdasarkan nomor akun 123456789012 di us-west-2 Wilayah. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. aws:SourceAccount 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "sagemaker.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
        }
      }
    }
  ]
}

Jangan mengganti aws:SourceArn dalam template ini dengan ARN lengkap dari algoritma atau paket model tertentu. ARN harus dalam format yang disediakan di atas. Tanda bintang dalam template ARN memang merupakan singkatan dari wildcard dan mencakup semua pekerjaan pelatihan, model, dan pekerjaan transformasi batch dari langkah validasi, serta paket algoritme dan model yang diterbitkan ke AI Marketplace. SageMaker

SageMaker Neo

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil kebingungan lintas layanan untuk pekerjaan kompilasi SageMaker Neo yang dibuat oleh nomor akun 123456789012 di us-west-2 Wilayah. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. aws:SourceAccount

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "sagemaker.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:compilation-job/*"
        }
      }
    }
  ]
}

Anda dapat mengganti aws:SourceArn dalam template ini dengan ARN lengkap dari satu pekerjaan kompilasi tertentu untuk membatasi izin lebih lanjut.

SageMaker Pipa

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil lintas layanan yang membingungkan untuk SageMaker Pipelines menggunakan catatan eksekusi pipa dari satu atau lebih saluran pipa. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. aws:SourceAccount

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "sagemaker.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:partition:sagemaker:region:123456789012:pipeline/mypipeline/*"
        }
      }
    }
  ]
}

Jangan mengganti aws:SourceArn dalam template ini dengan ARN penuh dari eksekusi pipeline tertentu. ARN harus dalam format yang disediakan di atas. partitionPlaceholder harus menunjuk partisi AWS komersial (aws) atau partisi di AWS Tiongkok (aws-cn), tergantung di mana pipa berjalan. Demikian pula, region placeholder di ARN dapat berupa Wilayah yang valid di mana SageMaker Pipelines tersedia.

Tanda bintang di template ARN memang merupakan singkatan dari wildcard dan mencakup semua eksekusi pipeline dari pipeline bernama. mypipeline Jika Anda ingin mengizinkan AssumeRole izin untuk semua saluran pipa di akun 123456789012 daripada satu pipa tertentu, maka itu aws:SourceArn akan menjadi. arn:aws:sagemaker:*:123456789012:pipeline/*

SageMaker Pekerjaan Processing

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil kebingungan lintas layanan untuk SageMaker Memproses pekerjaan yang dibuat oleh nomor akun 123456789012 di us-west-2 Wilayah. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. aws:SourceAccount

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "sagemaker.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:processing-job/*"
        }
      }
    }
  ]
}

Anda dapat mengganti aws:SourceArn dalam template ini dengan ARN penuh dari satu pekerjaan pemrosesan tertentu untuk membatasi izin lebih lanjut.

SageMaker Studio

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah deputi kebingungan lintas layanan untuk SageMaker Studio yang dibuat berdasarkan nomor akun 123456789012 di us-west-2 Wilayah. Perhatikan bahwa karena nomor akun adalah bagian dari aws:SourceArn nilai, Anda tidak perlu menentukan aws:SourceAccount nilai. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "sagemaker.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
        }
      }
    }
  ]
}

Jangan mengganti aws:SourceArn dalam template ini dengan ARN lengkap dari aplikasi Studio tertentu, profil pengguna, atau domain. ARN harus dalam format yang disediakan pada contoh sebelumnya. Tanda bintang di template ARN tidak berarti wildcard dan tidak boleh diubah.

SageMaker Lowongan Training

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil kebingungan lintas layanan untuk pekerjaan SageMaker pelatihan yang dibuat oleh nomor akun 123456789012 di us-west-2 Wilayah. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. aws:SourceAccount

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "sagemaker.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:training-job/*"
        }
      }
    }
  ]
}

Anda dapat mengganti aws:SourceArn dalam template ini dengan ARN lengkap dari satu pekerjaan pelatihan tertentu untuk membatasi izin lebih lanjut.

Selanjutnya

Untuk informasi selengkapnya tentang mengelola peran eksekusi, lihat Peran SageMaker AI.

Di halaman ini

Related resources

Amazon SageMaker AI Referensi API
AWS CLI perintah untuk Amazon SageMaker AI
SDKs & Alat 

Related resources

Amazon SageMaker AI Referensi API
AWS CLI perintah untuk Amazon SageMaker AI
SDKs & Alat 
PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.