Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pencegahan Deputi Bingung Lintas Layanan
Masalah confused deputy adalah masalah keamanan saat entitas yang tidak memiliki izin untuk melakukan suatu tindakan dapat memaksa entitas yang lebih berhak untuk melakukan tindakan tersebut. Pada tahun AWS, masalah wakil yang bingung dapat muncul karena peniruan identitas lintas layanan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (layanan panggilan) memanggil layanan lain (layanan yang disebut) dan memanfaatkan izin tinggi layanan yang disebut untuk bertindak atas sumber daya yang tidak memiliki otorisasi untuk diakses oleh layanan panggilan. Untuk mencegah akses tidak sah melalui masalah wakil yang membingungkan, AWS sediakan alat untuk membantu mengamankan data Anda di seluruh layanan. Alat-alat ini membantu Anda mengontrol izin yang diberikan kepada prinsipal layanan, membatasi akses mereka hanya ke sumber daya di akun Anda yang diperlukan. Dengan mengelola hak akses kepala layanan secara hati-hati, Anda dapat membantu mengurangi risiko layanan mengakses data atau sumber daya secara tidak benar yang seharusnya tidak memiliki izin.
Baca terus untuk panduan umum atau arahkan ke contoh untuk SageMaker fitur tertentu:
Topik
Batasi Izin Dengan Kunci Kondisi Global
Sebaiknya gunakan kunci kondisi aws:SourceAccount global aws:SourceArn dan global dalam kebijakan sumber daya untuk membatasi izin ke sumber daya yang SageMaker diberikan Amazon kepada layanan lain. Jika Anda menggunakan kunci kondisi global dan aws:SourceArn nilainya berisi ID akun, aws:SourceAccount nilai dan akun dalam aws:SourceArn nilai harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama. Gunakan aws:SourceArn jika Anda hanya ingin satu sumber daya dikaitkan dengan akses lintas layanan. Gunakan aws:SourceAccount jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan.
Cara paling efektif untuk melindungi dari masalah wakil yang membingungkan adalah dengan menggunakan kunci kondisi aws:SourceArn global dengan penuh ARN sumber daya. Jika Anda tidak mengetahui sumber daya yang lengkap ARN atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi aws:SourceArn global dengan wildcard (*) untuk bagian yang tidak diketahui dari file. ARN Misalnya, arn:aws:sagemaker:*:.123456789012:*
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn dan aws:SourceAccount global SageMaker untuk mencegah masalah wakil yang membingungkan.
{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, # Specify an action and resource policy for another service "Action": "service:ActionName", "Resource": [ "arn:aws:service:::ResourceName/*" ], "Condition": { "ArnLike": { "aws:SourceArn": "arn:partition:sagemaker:region:123456789012:*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } }
SageMaker Manajer Tepi
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil kebingungan lintas layanan untuk SageMaker Edge Manager yang dibuat dengan nomor akun 123456789012 di us-west-2 Wilayah.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*" } } } }
Anda dapat mengganti aws:SourceArn dalam template ini dengan penuh ARN satu pekerjaan pengemasan tertentu untuk membatasi izin lebih lanjut.
SageMaker Gambar
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil lintas layanan yang membingungkan untuk SageMaker Gambar. Gunakan template ini dengan salah satu Image atauImageVersion. Contoh ini menggunakan ImageVersion catatan ARN dengan nomor akun 123456789012. Perhatikan bahwa karena nomor akun adalah bagian dari aws:SourceArn nilai, Anda tidak perlu menentukan aws:SourceAccount nilai.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:partition:sagemaker:us-west-2:123456789012:image-version" } } } }
Jangan mengganti aws:SourceArn dalam template ini dengan penuh ARN gambar atau versi gambar tertentu. ARNHarus dalam format yang disediakan di atas dan tentukan salah satu image atauimage-version. partitionPlaceholder harus menunjuk partisi AWS komersial (aws) atau partisi AWS di China (aws-cn), tergantung di mana gambar atau versi gambar berjalan. Demikian pula, region placeholder di ARN dapat berupa Wilayah yang valid di mana SageMaker gambar tersedia.
SageMaker Inferensi
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil kebingungan lintas layanan untuk inferensi SageMaker real-time, tanpa server, dan asinkron. Perhatikan bahwa karena nomor akun adalah bagian dari aws:SourceArn nilai, Anda tidak perlu menentukan aws:SourceAccount nilai.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*" } } } }
Jangan mengganti template ini dengan penuh ARN model atau titik akhir tertentu. aws:SourceArn ARNHarus dalam format yang disediakan di atas. Tanda bintang dalam ARN template tidak berarti wildcard dan tidak boleh diubah.
SageMaker Pekerjaan Batch Transform
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah deputi kebingungan lintas layanan untuk pekerjaan transformasi SageMaker batch yang dibuat oleh nomor akun 123456789012 di us-west-2 Wilayah. Perhatikan bahwa karena nomor akun ada diARN, Anda tidak perlu menentukan aws:SourceAccount nilai.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:transform-job/*" } } } ] }
Anda dapat mengganti aws:SourceArn dalam template ini dengan penuh ARN satu pekerjaan transformasi batch tertentu untuk membatasi izin lebih lanjut.
SageMaker Marketplace
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah deputi kebingungan lintas layanan untuk sumber daya SageMaker Marketplace yang dibuat oleh nomor akun 123456789012 di us-west-2 Wilayah. Perhatikan bahwa karena nomor akun ada diARN, Anda tidak perlu menentukan aws:SourceAccount nilai.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*" } } } ] }
Jangan mengganti aws:SourceArn dalam template ini dengan penuh ARN algoritma atau paket model tertentu. ARNHarus dalam format yang disediakan di atas. Tanda bintang dalam ARN template merupakan singkatan dari wildcard dan mencakup semua pekerjaan pelatihan, model, dan pekerjaan transformasi batch dari langkah validasi, serta paket algoritme dan model yang diterbitkan ke Marketplace. SageMaker
SageMaker Neo
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil kebingungan lintas layanan untuk pekerjaan kompilasi SageMaker Neo yang dibuat oleh nomor akun 123456789012 di us-west-2 Wilayah. Perhatikan bahwa karena nomor akun ada diARN, Anda tidak perlu menentukan aws:SourceAccount nilai.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:compilation-job/*" } } } ] }
Anda dapat mengganti aws:SourceArn dalam template ini dengan penuh ARN satu pekerjaan kompilasi tertentu untuk membatasi izin lebih lanjut.
SageMaker Pipa
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil lintas layanan yang membingungkan untuk SageMaker Pipelines menggunakan catatan eksekusi pipa dari satu atau lebih saluran pipa. Perhatikan bahwa karena nomor akun ada diARN, Anda tidak perlu menentukan aws:SourceAccount nilai.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:partition:sagemaker:region:123456789012:pipeline/mypipeline/*" } } } ] }
Jangan mengganti aws:SourceArn dalam template ini dengan ARN penuh eksekusi pipeline tertentu. ARNHarus dalam format yang disediakan di atas. partitionPlaceholder harus menunjuk partisi AWS komersial (aws) atau partisi AWS di China (aws-cn), tergantung di mana pipa berjalan. Demikian pula, region placeholder di ARN dapat berupa Wilayah yang valid di mana SageMaker Pipelines tersedia.
Tanda bintang dalam ARN template merupakan singkatan dari wildcard dan mencakup semua eksekusi pipeline dari pipeline bernama. mypipeline Jika Anda ingin mengizinkan AssumeRole izin untuk semua saluran pipa di akun 123456789012 daripada satu pipa tertentu, maka itu aws:SourceArn akan menjadi. arn:aws:sagemaker:*:123456789012:pipeline/*
SageMaker Pekerjaan Processing
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil kebingungan lintas layanan untuk SageMaker memproses pekerjaan yang dibuat oleh nomor akun 123456789012 di us-west-2 Wilayah. Perhatikan bahwa karena nomor akun ada diARN, Anda tidak perlu menentukan aws:SourceAccount nilai.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:processing-job/*" } } } ] }
Anda dapat mengganti aws:SourceArn dalam template ini dengan penuh ARN satu pekerjaan pemrosesan tertentu untuk membatasi izin lebih lanjut.
SageMaker Studio
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah deputi kebingungan lintas layanan untuk SageMaker Studio yang dibuat berdasarkan nomor akun 123456789012 di us-west-2 Wilayah. Perhatikan bahwa karena nomor akun adalah bagian dari aws:SourceArn nilai, Anda tidak perlu menentukan aws:SourceAccount nilai.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*" } } } ] }
Jangan mengganti aws:SourceArn dalam template ini dengan penuh ARN aplikasi Studio tertentu, profil pengguna, atau domain. ARNHarus dalam format yang disediakan pada contoh sebelumnya. Tanda bintang dalam ARN template tidak berarti wildcard dan tidak boleh diubah.
SageMaker Pekerjaan Pelatihan
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil kebingungan lintas layanan untuk pekerjaan SageMaker pelatihan yang dibuat oleh nomor akun 123456789012 di us-west-2 Wilayah. Perhatikan bahwa karena nomor akun ada diARN, Anda tidak perlu menentukan aws:SourceAccount nilai.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:training-job/*" } } } ] }
Anda dapat mengganti aws:SourceArn dalam template ini dengan penuh ARN satu pekerjaan pelatihan khusus untuk membatasi izin lebih lanjut.
Selanjutnya
Untuk informasi selengkapnya tentang mengelola peran eksekusi, lihat SageMaker Peran.
