기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
교차 서비스 혼동된 대리자 예방
혼동된 대리자 문제는 작업을 수행할 권한이 없는 엔터티가 권한이 더 많은 엔터티에 작업을 수행하도록 강요할 수 있는 보안 문제입니다. 에서는 교차 서비스 사칭으로 인해 AWS혼동된 대리자 문제가 발생할 수 있습니다. 서비스 간 사칭은 한 서비스( 호출 서비스 )가 다른 서비스( 호출 서비스 )를 호출하고 호출 서비스의 승격된 권한을 활용하여 호출 서비스에 액세스할 권한이 없는 리소스에 대해 작업할 때 발생할 수 있습니다. 혼동된 대리자 문제를 통한 무단 액세스를 방지하기 위해 는 서비스 전반에서 데이터를 보호하는 데 도움이 되는 도구를 AWS 제공합니다. 이러한 도구를 사용하면 서비스 보안 주체에게 부여된 권한을 제어하여 필요한 계정의 리소스로만 액세스를 제한할 수 있습니다. 서비스 보안 주체의 액세스 권한을 신중하게 관리하면 권한이 없어야 하는 데이터 또는 리소스에 부적절하게 액세스할 위험을 완화하는 데 도움이 될 수 있습니다.
일반 지침은 을 참조하거나 특정 SageMaker 기능에 대한 예제로 이동합니다.
주제
전역 조건 키로 권한 제한
리소스 정책에서 aws:SourceArn 및 aws:SourceAccount 전역 조건 키를 사용하여 Amazon이 다른 서비스를 SageMaker 제공하는 리소스에 대한 권한을 제한하는 것이 좋습니다. 두 전역 조건 키와 계정을 포함한 aws:SourceArn값을 모두 사용하는 경우, aws:SourceAccount값 및 aws:SourceArn값의 계정은 동일한 정책 명령문에서 사용할 경우 반드시 동일한 계정 ID를 사용해야 합니다. 하나의 리소스만 교차 서비스 액세스와 연결되도록 허용하려는 경우 aws:SourceArn을 사용하세요. 해당 계정의 모든 리소스가 교차 서비스 사용과 연결되도록 허용하려는 경우 aws:SourceAccount을(를) 사용합니다.
혼동된 대리자 문제로부터 보호하는 가장 효과적인 방법은 aws:SourceArn 글로벌 조건 키를 전체 리소스와 함께 사용하는 ARN 것입니다. 리소스 ARN 전체를 모르는 경우 또는 여러 리소스를 지정하는 경우 의 알 수 없는 부분에 와일드카드(*)와 함께 aws:SourceArn 전역 조건 키를 사용합니다ARN. 예: arn:aws:sagemaker:*:.123456789012:*
다음 예제에서는 의 aws:SourceArn 및 aws:SourceAccount 전역 조건 키를 사용하여 혼동된 대리자 문제를 SageMaker 방지하는 방법을 보여줍니다.
{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, # Specify an action and resource policy for another service "Action": "service:ActionName", "Resource": [ "arn:aws:service:::ResourceName/*" ], "Condition": { "ArnLike": { "aws:SourceArn": "arn:partition:sagemaker:region:123456789012:*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } }
SageMaker 엣지 관리자
다음 예제에서는 aws:SourceArn 전역 조건 키를 사용하여 계정 번호로 생성된 SageMaker Edge Manager에 대한 서비스 간 혼동된 대리자 문제를 방지하는 방법을 보여줍니다.123456789012 의 us-west-2 리전.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*" } } } }
이 템플릿ARN의 aws:SourceArn를 하나의 특정 패키징 작업으로 대체하여 권한을 추가로 제한할 수 있습니다.
SageMaker 이미지
다음 예제에서는 aws:SourceArn 전역 조건 키를 사용하여 SageMaker 이미지 에 대한 서비스 간 혼동된 대리자 문제를 방지하는 방법을 보여줍니다. 이 템플릿은 Image또는 ImageVersion에 함께 사용하세요. 이 예제에서는 계정 번호가 ARN 인 ImageVersion 레코드를 사용합니다.123456789012. 계정 번호는 aws:SourceArn 값의 일부이므로 aws:SourceAccount 값을 지정할 필요가 없습니다.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:partition:sagemaker:us-west-2:123456789012:image-version" } } } }
이 템플릿aws:SourceArn의 를 ARN 특정 이미지 또는 이미지 버전의 전체로 바꾸지 마세요. 는 위에 제공된 형식이어야 하며 image 또는 를 지정ARN해야 합니다image-version. partition 자리 표시자는 이미지 또는 이미지 버전이 실행 중인 위치에 따라 AWS 상용 파티션(aws) 또는 중국 AWS 내 파티션(aws-cn)을 지정해야 합니다. 마찬가지로 의 region 자리 표시자는 SageMaker 이미지를 사용할 ARN 수 있는 유효한 리전일 수 있습니다.
SageMaker 추론
다음 예제에서는 aws:SourceArn 전역 조건 키를 사용하여 SageMaker 실시간 , 서버리스 및 비동기 추론에 대한 서비스 간 혼동된 대리자 문제를 방지하는 방법을 보여줍니다. 단, 계정 번호는 aws:SourceArn값의 일부이므로 aws:SourceAccount값을 지정할 필요가 없습니다.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*" } } } }
이 템플릿aws:SourceArn의 를 ARN 특정 모델 또는 엔드포인트의 전체로 바꾸지 마세요. 는 위에 제공된 형식이어야 ARN 합니다. ARN 템플릿의 별표는 와일드카드를 의미하지 않으므로 변경해서는 안 됩니다.
SageMaker 배치 변환 작업
다음 예제에서는 aws:SourceArn 전역 조건 키를 사용하여 계정 번호로 생성된 SageMaker 배치 변환 작업의 서비스 간 혼동된 대리자 문제를 방지하는 방법을 보여줍니다.123456789012 의 us-west-2 리전. 계정 번호가 에 있으므로 aws:SourceAccount 값을 지정할 필요가 ARN없습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:transform-job/*" } } } ] }
이 템플릿ARN의 aws:SourceArn를 하나의 특정 배치 변환 작업으로 대체하여 권한을 추가로 제한할 수 있습니다.
SageMaker 마켓플레이스
다음 예제에서는 aws:SourceArn 전역 조건 키를 사용하여 계정 번호로 생성된 SageMaker Marketplace 리소스에 대한 서비스 간 혼동된 대리자 문제를 방지하는 방법을 보여줍니다.123456789012 의 us-west-2 리전. 계정 번호가 에 있으므로 aws:SourceAccount 값을 지정할 필요가 ARN없습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*" } } } ] }
이 템플릿aws:SourceArn의 를 ARN 특정 알고리즘 또는 모델 패키지의 전체로 바꾸지 마세요. 는 위에 제공된 형식이어야 ARN 합니다. ARN 템플릿의 별표는 와일드카드를 나타내며 검증 단계의 모든 훈련 작업, 모델 및 배치 변환 작업과 SageMaker Marketplace에 게시된 알고리즘 및 모델 패키지를 포함합니다.
SageMaker 네오
다음 예제에서는 aws:SourceArn 전역 조건 키를 사용하여 계정 번호로 생성된 SageMaker Neo 컴파일 작업에 대한 서비스 간 혼동된 대리자 문제를 방지하는 방법을 보여줍니다.123456789012 의 us-west-2 리전. 계정 번호가 에 있으므로 aws:SourceAccount 값을 지정할 필요가 ARN없습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:compilation-job/*" } } } ] }
이 템플릿ARN의 aws:SourceArn를 하나의 특정 컴파일 작업으로 대체하여 권한을 추가로 제한할 수 있습니다.
SageMaker 파이프라인
다음 예제에서는 aws:SourceArn 글로벌 조건 키를 사용하여 하나 이상의 파이프라인에서 파이프라인 실행 레코드를 사용하여 SageMaker 파이프라인에 대한 서비스 간 혼동된 대리자 문제를 방지하는 방법을 보여줍니다. 계정 번호가 에 있으므로 aws:SourceAccount 값을 지정할 필요가 ARN없습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:partition:sagemaker:region:123456789012:pipeline/mypipeline/*" } } } ] }
이 템플릿aws:SourceArn의 를 특정 파이프라인 실행의 전체로 바꾸ARN지 마세요. 는 위에 제공된 형식이어야 ARN 합니다. partition 자리 표시자는 파이프라인이 실행되는 위치에 따라 AWS 상용 파티션(aws) 또는 중국 AWS 내 파티션(aws-cn)을 지정해야 합니다. 마찬가지로 의 region 자리 표시자는 SageMaker 파이프라인을 사용할 ARN 수 있는 유효한 리전일 수 있습니다.
ARN 템플릿의 별표는 와일드카드를 나타내며 라는 파이프라인의 모든 파이프라인 실행을 포함합니다mypipeline. 특정 파이프라인 하나가 아닌 계정 123456789012내 모든 파이프라인에 대한 AssumeRole권한을 허용하려면 aws:SourceArn은 arn:aws:sagemaker:*:123456789012:pipeline/*이 됩니다.
SageMaker 처리 작업
다음 예제에서는 aws:SourceArn 전역 조건 키를 사용하여 계정 번호로 생성된 작업을 SageMaker 처리하기 위한 서비스 간 혼동된 대리자 문제를 방지하는 방법을 보여줍니다.123456789012 의 us-west-2 리전. 계정 번호가 에 있으므로 aws:SourceAccount 값을 지정할 필요가 ARN없습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:processing-job/*" } } } ] }
이 템플릿aws:SourceArn의 를 하나의 특정 처리 작업ARN으로 대체하여 권한을 추가로 제한할 수 있습니다.
SageMaker 스튜디오
다음 예제에서는 aws:SourceArn 전역 조건 키를 사용하여 계정 번호로 생성된 SageMaker Studio에 대한 서비스 간 혼동된 대리자 문제를 방지하는 방법을 보여줍니다.123456789012 의 us-west-2 리전. 단, 계정 번호는 aws:SourceArn값의 일부이므로 aws:SourceAccount값을 지정할 필요가 없습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*" } } } ] }
이 템플릿aws:SourceArn의 를 특정 Studio 애플리케이션, 사용자 프로필 또는 도메인ARN으로 교체하지 마세요. 는 이전 예제에서 제공된 형식이어야 ARN 합니다. ARN 템플릿의 별표는 와일드카드를 의미하지 않으므로 변경해서는 안 됩니다.
SageMaker 훈련 작업
다음 예제에서는 aws:SourceArn 전역 조건 키를 사용하여 계정 번호로 생성된 SageMaker 훈련 작업에 대한 서비스 간 혼동된 대리자 문제를 방지하는 방법을 보여줍니다.123456789012 의 us-west-2 리전. 계정 번호가 에 있으므로 aws:SourceAccount 값을 지정할 필요가 ARN없습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:training-job/*" } } } ] }
이 템플릿ARN의 aws:SourceArn를 하나의 특정 훈련 작업으로 대체하여 권한을 추가로 제한할 수 있습니다.
다음
실행 역할 관리에 대한 자세한 내용은 SageMaker 역할 섹션을 참조하세요.
