Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Cross-service verwirrter Stellvertreter, Prävention
Das [Confused-Deputy-Problem](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy) ist ein Sicherheitsproblem, bei dem eine Entität, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine Entität mit größeren Rechten zwingen kann, die Aktion auszuführen. In kann AWS das Problem des verwirrten Stellvertreters aufgrund eines dienstübergreifenden Identitätswechsels auftreten. Cross-service Ein Identitätswechsel kann auftreten, wenn ein Dienst (der *anrufende Dienst) einen anderen Dienst* (den aufgerufenen Dienst) aufruft und die erhöhten Berechtigungen des *aufgerufenen Dienstes* nutzt, um auf Ressourcen zu reagieren, für die der anrufende Dienst keine Zugriffsberechtigung hat. AWS Bietet Tools, mit denen Sie Ihre Daten dienstübergreifend schützen können, um unbefugten Zugriff durch das Problem des verwirrten Stellvertreters zu verhindern. Mit diesen Tools können Sie kontrollieren, welche Berechtigungen Dienstprinzipalen erteilt werden, und deren Zugriff nur auf die Ressourcen in Ihrem Konto beschränken, die erforderlich sind. Durch die sorgfältige Verwaltung der Zugriffsrechte von Service Principals können Sie das Risiko verringern, dass Dienste nicht ordnungsgemäß auf Daten oder Ressourcen zugreifen, für die sie keine Berechtigungen haben sollten.
Lesen Sie weiter, um allgemeine Hinweise zu erhalten, oder navigieren Sie zu einem Beispiel für eine bestimmte SageMaker KI-Funktion:
**Topics**
+ [Beschränken Sie Berechtigungen mit globalen Bedingungsschlüsseln](#security-confused-deputy-context-keys)
+ [SageMaker Edge-Manager](#security-confused-deputy-edge-manager)
+ [SageMaker Bilder](#security-confused-deputy-images)
+ [SageMaker KI-Inferenz](#security-confused-deputy-inference)
+ [SageMaker Jobs zur Batch-Transformation mit KI](#security-confused-deputy-batch)
+ [SageMaker KI-Marktplatz](#security-confused-deputy-marketplace)
+ [SageMaker Neo](#security-confused-deputy-neo)
+ [SageMaker Rohrleitungen](#security-confused-deputy-pipelines)
+ [SageMaker Jobs werden verarbeitet](#security-confused-deputy-processing-job)
+ [SageMaker Studio](#security-confused-deputy-studio)
+ [SageMaker Ausbildungsberufe](#security-confused-deputy-training-job)
## Beschränken Sie Berechtigungen mit globalen Bedingungsschlüsseln
Wir empfehlen, die Schlüssel `[aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)` und die `[aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)` globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen auf die Ressource zu beschränken, die Amazon SageMaker AI einem anderen Service zur Verfügung stellt. Wenn Sie beide globalen Konditionsschlüssel verwenden und der `aws:SourceArn` Wert die Konto-ID enthält, müssen der `aws:SourceAccount` Wert und das Konto im `aws:SourceArn` Wert die gleiche Konto-ID verwenden, wenn sie in der gleichen Richtlinienanweisung verwendet werden. Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie `aws:SourceAccount`, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden.
Der wirksamste Schutz gegen das Problem der verwechselten Stellvertreter ist die Verwendung des `aws:SourceArn` globalen Bedingungsschlüssels mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den `aws:SourceArn` globalen Bedingungsschlüssel mit Platzhaltern (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:sagemaker:*:{{123456789012}}:*`.
Das folgende Beispiel zeigt, wie Sie die globalen Bedingungsschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel in SageMaker KI verwenden können, um das Problem des verwirrten Stellvertreters zu verhindern.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "{{sagemaker}}:{{StartSession}}",
"Resource": "arn:aws:{{sagemaker}}:{{us-east-1}}:{{123456789012}}:{{ResourceName}}/*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-east-1}}:{{123456789012}}:*"
},
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
}
}
}
}
```
------
## SageMaker Edge-Manager
Das folgende Beispiel zeigt, wie Sie den `aws:SourceArn` globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Problem mit verwirrtem Deputy für SageMaker Edge Manager zu verhindern, das durch die Kontonummer {{123456789012}} in der {{us-west-2}} Region verursacht wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:*"
}
}
}
}
```
------
Sie können das `aws:SourceArn` in dieser Vorlage enthaltene durch den vollständigen ARN eines bestimmten Paketierungsauftrags ersetzen, um die Berechtigungen weiter einzuschränken.
## SageMaker Bilder
Das folgende Beispiel zeigt, wie Sie den `aws:SourceArn` globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Problem Confused Deputy für [SageMaker Images](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-byoi.html) zu verhindern. Verwenden Sie diese Vorlage entweder mit `[Image](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Image.html)` oder `[ImageVersion](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ImageVersion.html)`. In diesem Beispiel wird ein `ImageVersion` Datensatz-ARN mit der Kontonummer verwendet{{123456789012}}. Beachten Sie, dass Sie keinen `aws:SourceAccount` Wert angeben müssen, da die Kontonummer Teil des `aws:SourceArn` Werts ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-east-2}}:{{123456789012}}:{{image-version}}/*"
}
}
}
}
```
------
Ersetzen Sie das `aws:SourceArn` in dieser Vorlage nicht durch den vollständigen ARN eines bestimmten Images oder einer bestimmten Image-Version. Der ARN muss das oben angegebene Format haben und entweder `image` oder `image-version` angeben. Der `partition` Platzhalter sollte entweder eine AWS kommerzielle Partition (`aws`) oder eine Partition AWS in China (`aws-cn`) bezeichnen, je nachdem, wo das Image oder die Image-Version ausgeführt wird. Ebenso kann der `region` Platzhalter im ARN eine beliebige [gültige Region](https://docs.aws.amazon.com/sagemaker/latest/dg/regions-quotas.html) sein, in der SageMaker Bilder verfügbar sind.
## SageMaker KI-Inferenz
[Das folgende Beispiel zeigt, wie Sie den `aws:SourceArn` globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Confused Deputy Problem für SageMaker [KI-Echtzeit](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints) -, [serverlose](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints) und asynchrone Inferenz zu verhindern.](https://docs.aws.amazon.com/sagemaker/latest/dg/async-inference) Beachten Sie, dass Sie keinen `aws:SourceAccount` Wert angeben müssen, da die Kontonummer Teil des `aws:SourceArn` Werts ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:*"
}
}
}
}
```
------
Ersetzen Sie das `aws:SourceArn` in dieser Vorlage nicht durch den vollständigen ARN eines bestimmten Modells oder Endpunkts. Der ARN muss in dem oben angegebenen Format vorliegen. Das Sternchen in der ARN-Vorlage steht nicht für Platzhalter und sollte nicht geändert werden.
## SageMaker Jobs zur Batch-Transformation mit KI
Das folgende Beispiel zeigt, wie Sie den `aws:SourceArn` globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Problem des verwirrten Stellvertreters bei SageMaker [AI-Batch-Transformationsaufträgen](https://docs.aws.amazon.com/sagemaker/latest/dg/batch-transform.html) zu verhindern, die nach Kontonummer {{123456789012}} in der {{us-west-2}} Region erstellt wurden. Beachten Sie, dass Sie keinen `aws:SourceAccount` Wert angeben müssen, da sich die Kontonummer im ARN befindet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:transform-job/*"
}
}
}
]
}
```
------
Sie können das `aws:SourceArn` in dieser Vorlage enthaltene durch den vollständigen ARN eines bestimmten Batch-Transformationsauftrags ersetzen, um die Berechtigungen weiter einzuschränken.
## SageMaker KI-Marktplatz
Das folgende Beispiel zeigt, wie Sie den `aws:SourceArn` globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Problem des verwirrten Stellvertreters für SageMaker AI Marketplace-Ressourcen zu verhindern, die anhand der Kontonummer {{123456789012}} in der {{us-west-2}} Region erstellt wurden. Beachten Sie, dass Sie keinen `aws:SourceAccount` Wert angeben müssen, da sich die Kontonummer im ARN befindet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:*"
}
}
}
]
}
```
------
Ersetzen Sie das `aws:SourceArn` in dieser Vorlage nicht durch den vollständigen ARN eines bestimmten Algorithmus oder Modellpakets. Der ARN muss in dem oben angegebenen Format vorliegen. Das Sternchen in der ARN-Vorlage steht für Platzhalter und deckt alle Trainingsjobs, Modelle und Batch-Transformationsjobs aus Validierungsschritten sowie Algorithmus- und Modellpakete ab, die auf SageMaker AI Marketplace veröffentlicht wurden.
## SageMaker Neo
Das folgende Beispiel zeigt, wie Sie den `aws:SourceArn` globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Confused Deputy Problem bei SageMaker Neo-Kompilierungsaufträgen zu verhindern, die anhand der Kontonummer {{123456789012}} in der {{us-west-2}} Region erstellt wurden. Beachten Sie, dass Sie keinen `aws:SourceAccount` Wert angeben müssen, da sich die Kontonummer im ARN befindet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:{{compilation-job/*}}"
}
}
}
]
}
```
------
Sie können das `aws:SourceArn` in dieser Vorlage enthaltene durch den vollständigen ARN eines bestimmten Kompilierungsauftrags ersetzen, um die Berechtigungen weiter einzuschränken.
## SageMaker Rohrleitungen
Das folgende Beispiel zeigt, wie Sie mithilfe des `aws:SourceArn` globalen Bedingungsschlüssels verhindern können, dass [SageMaker Pipelines mithilfe von Pipeline-Ausführungsdatensätzen aus einer oder mehreren Pipelines](https://docs.aws.amazon.com/sagemaker/latest/dg/pipelines-overview.html) das dienstübergreifende Problem verwirrter Deployes auftreten. Beachten Sie, dass Sie keinen `aws:SourceAccount` Wert angeben müssen, da sich die Kontonummer im ARN befindet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-east-1}}:{{123456789012}}:pipeline/{{mypipeline/*}}"
}
}
}
]
}
```
------
Ersetzen Sie das `aws:SourceArn` in dieser Vorlage nicht durch den vollständigen ARN einer bestimmten Pipeline-Ausführung. Der ARN muss in dem oben angegebenen Format vorliegen. Der `partition` Platzhalter sollte entweder eine AWS kommerzielle Partition (`aws`) oder eine Partition AWS in China (`aws-cn`) bezeichnen, je nachdem, wo die Pipeline läuft. Ebenso kann der `region` Platzhalter im ARN eine beliebige [gültige Region](https://docs.aws.amazon.com/sagemaker/latest/dg/regions-quotas.html) sein, in der SageMaker Pipelines verfügbar ist.
Das Sternchen in der ARN-Vorlage steht für Platzhalter und deckt alle Pipeline-Ausführungen einer Pipeline mit dem Namen `mypipeline` ab. Wenn Sie die `AssumeRole` Berechtigungen für alle Pipelines im Konto `123456789012` und nicht für eine bestimmte Pipeline gewähren möchten, dann wäre der `aws:SourceArn` gleich `arn:aws:sagemaker:*:123456789012:pipeline/*`.
## SageMaker Jobs werden verarbeitet
Das folgende Beispiel zeigt, wie Sie den `aws:SourceArn` globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Problem der verwirrten Stellvertreter bei der SageMaker Verarbeitung von Aufträgen zu verhindern, die nach Kontonummer {{123456789012}} in der {{us-west-2}} Region erstellt wurden. Beachten Sie, dass Sie keinen `aws:SourceAccount` Wert angeben müssen, da sich die Kontonummer im ARN befindet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:{{processing-job/*}}"
}
}
}
]
}
```
------
Sie können das `aws:SourceArn` in dieser Vorlage enthaltene durch den vollständigen ARN eines bestimmten Verarbeitungsauftrags ersetzen, um die Berechtigungen weiter einzuschränken.
## SageMaker Studio
Das folgende Beispiel zeigt, wie Sie den `aws:SourceArn` globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Problem der verwirrten Deputy in SageMaker Studio zu verhindern, das durch die Kontonummer {{123456789012}} in der {{us-west-2}} Region verursacht wurde. Beachten Sie, dass Sie keinen `aws:SourceAccount` Wert angeben müssen, da die Kontonummer Teil des `aws:SourceArn` Werts ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:*"
}
}
}
]
}
```
------
Ersetzen Sie das `aws:SourceArn` in dieser Vorlage nicht durch den vollständigen ARN einer bestimmten Studio-Anwendung, eines Benutzerprofils oder einer Domain. Der ARN muss das im vorherigen Beispiel angegebene Format sein. Das Sternchen in der ARN-Vorlage steht nicht für Platzhalter und sollte nicht geändert werden.
## SageMaker Ausbildungsberufe
Das folgende Beispiel zeigt, wie Sie den `aws:SourceArn` globalen Bedingungsschlüssel verwenden können, um das dienststellenübergreifende Problem der verwirrten Stellvertreter bei SageMaker Schulungsjobs zu vermeiden, die nach Kontonummer {{123456789012}} in der {{us-west-2}} Region erstellt wurden. Beachten Sie, dass Sie keinen `aws:SourceAccount` Wert angeben müssen, da sich die Kontonummer im ARN befindet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:{{training-job/*}}"
}
}
}
]
}
```
------
Sie können das `aws:SourceArn` in dieser Vorlage enthaltene durch den vollständigen ARN eines bestimmten Trainingsaufträge ersetzen, um die Berechtigungen weiter einzuschränken.
**Nächstes Thema**
Weitere Informationen zur Verwaltung von Ausführungsrollen finden Sie unter [SageMaker KI-Rollen](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles).