Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pencegahan "confused deputy" lintas layanan
Masalah confused deputy adalah masalah keamanan saat entitas yang tidak memiliki izin untuk melakukan suatu tindakan dapat memaksa entitas yang lebih berhak untuk melakukan tindakan tersebut. Di AWS, peniruan identitas lintas layanan dapat mengakibatkan masalah confused deputy. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (layanan panggilan) memanggil layanan lain (layanan yang disebut) dan memanfaatkan izin tinggi layanan yang disebut untuk bertindak atas sumber daya yang tidak memiliki otorisasi untuk diakses oleh layanan panggilan. Untuk mencegah akses tidak sah melalui masalah wakil yang membingungkan, AWS sediakan alat untuk membantu mengamankan data Anda di seluruh layanan. Alat-alat ini membantu Anda mengontrol izin yang diberikan kepada prinsipal layanan, membatasi akses mereka hanya ke sumber daya di akun Anda yang diperlukan. Dengan mengelola hak akses kepala layanan secara hati-hati, Anda dapat membantu mengurangi risiko layanan mengakses data atau sumber daya secara tidak benar yang seharusnya tidak memiliki izin.
Baca terus untuk panduan umum atau arahkan ke contoh untuk fitur SageMaker AI tertentu:
Topik
Batasi Izin Dengan Kunci Kondisi Global
Kami merekomendasikan penggunaan kunci konteks kondisi global aws:SourceArn dan aws:SourceAccount dalam kebijakan sumber daya untuk membatasi izin yang diberikan oleh SageMaker ke layanan lain untuk mengakses sumber daya. Jika Anda menggunakan kunci konteks kondisi global dan nilai aws:SourceArn berisi ID akun, nilai aws:SourceAccount dan akun dalam nilai aws:SourceArn harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama. Gunakan aws:SourceArn jika Anda ingin hanya satu sumber daya yang akan dikaitkan dengan akses lintas layanan. Gunakan aws:SourceAccount jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan.
Cara paling efektif untuk melindungi dari masalah "confused deputy" adalah dengan menggunakan kunci konteks kondisi global aws:SourceArn dengan ARN lengkap sumber daya. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks global aws:SourceArn dengan karakter wildcard (*) untuk bagian ARN yang tidak diketahui. Misalnya, arn:aws:sagemaker:*:.123456789012:*
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci konteks kondisi global aws:SourceArn dan aws:SourceAccount di SageMaker untuk mencegah masalah "confused deputy".
{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, # Specify an action and resource policy for another service "Action": "service:ActionName", "Resource": [ "arn:aws:service:::ResourceName/*" ], "Condition": { "ArnLike": { "aws:SourceArn": "arn:partition:sagemaker:region:123456789012:*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } }
SageMaker Manajer Edge
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil kebingungan lintas layanan untuk SageMaker Edge Manager yang dibuat berdasarkan nomor akun 123456789012 di us-west-2 Wilayah.
Anda dapat mengganti template ini dengan ARN lengkap dari satu pekerjaan pengemasan tertentu untuk membatasi izin lebih lanjut. aws:SourceArn
Citra
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci konteks kondisi global aws:SourceArn dan SageMaker di untuk mencegah masalah "confused deputy". Gunakan template ini dengan salah satu Image atauImageVersion. Contoh ini menggunakan ImageVersion catatan ARN dengan nomor rekening. 123456789012 Perhatikan bahwa karena nomor akun adalah bagian dari aws:SourceArn nilai, Anda tidak perlu menentukan aws:SourceAccount nilai.
Jangan mengganti aws:SourceArn dalam template ini dengan ARN lengkap dari gambar atau versi gambar tertentu. ARN harus dalam format yang disediakan di atas dan tentukan salah satu atauimage. image-version partitionPlaceholder harus menunjuk partisi AWS komersial (aws) atau partisi di AWS Tiongkok (aws-cn), tergantung di mana gambar atau versi gambar berjalan. Demikian pula, region placeholder di ARN dapat berupa Wilayah yang valid di mana SageMaker gambar tersedia.
SageMaker Inferensi AI
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil kebingungan lintas layanan untuk inferensi SageMaker AI real-time, tanpa server, dan asinkron. Perhatikan bahwa karena nomor akun adalah bagian dari aws:SourceArn nilai, Anda tidak perlu menentukan aws:SourceAccount nilai.
Jangan mengganti template ini dengan ARN lengkap dari model atau titik akhir tertentu. aws:SourceArn ARN harus berada dalam format yang disediakan di atas. Tanda bintang di template ARN tidak berarti wildcard dan tidak boleh diubah.
SageMaker Pekerjaan AI Batch Transform
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah deputi kebingungan lintas layanan untuk pekerjaan transformasi batch SageMaker AI yang dibuat berdasarkan nomor akun 123456789012 di us-west-2 Wilayah. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. aws:SourceAccount
Anda dapat mengganti aws:SourceArn dalam template ini dengan ARN penuh dari satu pekerjaan transformasi batch tertentu untuk membatasi izin lebih lanjut.
SageMaker Marketplace AI
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil lintas layanan yang membingungkan untuk sumber daya SageMaker AI Marketplace yang dibuat berdasarkan nomor akun 123456789012 di us-west-2 Wilayah. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. aws:SourceAccount
Jangan mengganti aws:SourceArn dalam template ini dengan ARN lengkap dari algoritma atau paket model tertentu. ARN harus berada dalam format yang disediakan di atas. Tanda bintang dalam template ARN memang merupakan singkatan dari wildcard dan mencakup semua pekerjaan pelatihan, model, dan pekerjaan transformasi batch dari langkah validasi, serta paket algoritme dan model yang diterbitkan ke AI Marketplace. SageMaker
SageMaker Neo
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil kebingungan lintas layanan untuk pekerjaan kompilasi SageMaker Neo yang dibuat oleh nomor akun 123456789012 di us-west-2 Wilayah. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. aws:SourceAccount
Anda dapat mengganti aws:SourceArn dalam template ini dengan ARN lengkap dari satu pekerjaan kompilasi tertentu untuk membatasi izin lebih lanjut.
SageMaker : Alur
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil lintas layanan yang membingungkan untuk SageMaker Pipelines menggunakan catatan eksekusi pipa dari satu atau lebih saluran pipa. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. aws:SourceAccount
Jangan mengganti aws:SourceArn dalam template ini dengan ARN penuh dari eksekusi pipeline tertentu. ARN harus berada dalam format yang disediakan di atas. partitionPlaceholder harus menunjuk partisi AWS komersial (aws) atau partisi di AWS Tiongkok (aws-cn), tergantung di mana pipa berjalan. Demikian pula, region placeholder di ARN dapat berupa Wilayah yang valid di mana SageMaker Pipelines tersedia.
Tanda bintang di template ARN merupakan singkatan dari wildcard dan mencakup semua eksekusi pipeline dari pipeline bernama. mypipeline Jika Anda ingin mengizinkan AssumeRole izin untuk semua saluran pipa di akun 123456789012 daripada satu pipa tertentu, maka itu aws:SourceArn akan menjadi. arn:aws:sagemaker:*:123456789012:pipeline/*
Tugas pengolahan
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil kebingungan lintas layanan untuk SageMaker Memproses pekerjaan yang dibuat oleh nomor akun 123456789012 di us-west-2 Wilayah. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. aws:SourceAccount
Anda dapat mengganti aws:SourceArn dalam template ini dengan ARN penuh dari satu pekerjaan pemrosesan tertentu untuk membatasi izin lebih lanjut.
.studio
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah deputi kebingungan lintas layanan untuk SageMaker Studio yang dibuat berdasarkan nomor akun 123456789012 di us-west-2 Wilayah. Perhatikan bahwa karena nomor akun adalah bagian dari aws:SourceArn nilai, Anda tidak perlu menentukan aws:SourceAccount nilai.
Jangan mengganti aws:SourceArn dalam template ini dengan ARN lengkap dari aplikasi Studio tertentu, profil pengguna, atau domain. ARN harus dalam format yang disediakan pada contoh sebelumnya. Tanda bintang di template ARN tidak berarti wildcard dan tidak boleh diubah.
Tugas pelatihan
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi aws:SourceArn global untuk mencegah masalah wakil kebingungan lintas layanan untuk pekerjaan SageMaker pelatihan yang dibuat oleh nomor akun 123456789012 di us-west-2 Wilayah. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. aws:SourceAccount
Anda dapat mengganti aws:SourceArn dalam template ini dengan ARN lengkap dari satu pekerjaan pelatihan tertentu untuk membatasi izin lebih lanjut.
Selanjutnya
Untuk informasi selengkapnya tentang mengelola peran eksekusi, lihat Peran SageMaker AI.
