Aplicação do acesso remoto Controle de acesso com base em tags

Controle de acesso avançado

O Amazon SageMaker AI oferece suporte ao controle de acesso baseado em atributos (ABAC) para obter um controle de acesso refinado para conexões remotas do Visual Studio Code usando políticas ABAC. A seguir estão exemplos de políticas ABAC para conexões remotas do VS Code.

Aplicação do acesso remoto

Controle o acesso aos recursos usando a chave de sagemaker:RemoteAccess condição. Isso é suportado por CreateSpace UpdateSpace APIs e. O exemplo a seguir usa CreateSpace.

Você pode garantir que os usuários não possam criar espaços com o acesso remoto ativado. Isso ajuda a manter a segurança adotando configurações de acesso mais restritas como padrão. A política a seguir garante que os usuários possam:

Crie novos espaços de estúdio onde o acesso remoto esteja explicitamente desativado
Crie novos espaços de estúdio sem especificar nenhuma configuração de acesso remoto


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyCreateSpaceRemoteAccessEnabled",
            "Effect": "Deny",
            "Action": "sagemaker:CreateSpace",
            "Resource": "arn:aws:sagemaker:*:*:space/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:RemoteAccess": [
                        "ENABLED"
                    ]
                }
            }
        },
        {
            "Sid": "AllowCreateSpace",
            "Effect": "Allow",
            "Action": "sagemaker:CreateSpace",
            "Resource": "arn:aws:sagemaker:*:*:space/*"
        }
    ]
}

Controle de acesso com base em tags

Implemente o controle de acesso baseado em tags para restringir conexões com base nos recursos e nas tags principais.

Você pode garantir que os usuários só possam acessar os recursos apropriados para suas atribuições de função e projeto. Você pode usar a seguinte política para:

Permita que os usuários se conectem somente a espaços que correspondam à equipe, ao ambiente e ao centro de custos designados
Implemente um controle de acesso refinado com base na estrutura organizacional

No exemplo a seguir, o espaço é marcado com o seguinte:


{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }

Você pode ter uma função que contenha a seguinte política para corresponder às tags de recurso e principal:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
                    "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
                    "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

Quando as tags da função coincidem, o usuário tem permissão para iniciar a sessão e se conectar remotamente ao seu espaço. Consulte Controlar o acesso aos AWS recursos usando tags para obter mais informações.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configurar o acesso remoto

Configurar sub-rede privada sem acesso à Internet