Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Cross-service pencegahan wakil bingung
[Masalah confused deputy](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy) adalah masalah keamanan saat entitas yang tidak memiliki izin untuk melakukan suatu tindakan dapat memaksa entitas yang lebih berhak untuk melakukan tindakan tersebut. Pada tahun AWS, masalah wakil yang bingung dapat muncul karena peniruan identitas lintas layanan. Cross-service peniruan identitas dapat terjadi ketika satu layanan (layanan panggilan) *memanggil layanan* lain (layanan yang *disebut) dan memanfaatkan izin tinggi layanan* yang disebut untuk bertindak atas sumber daya yang tidak memiliki otorisasi untuk diakses oleh layanan panggilan. Untuk mencegah akses tidak sah melalui masalah wakil yang membingungkan, AWS sediakan alat untuk membantu mengamankan data Anda di seluruh layanan. Alat-alat ini membantu Anda mengontrol izin yang diberikan kepada prinsipal layanan, membatasi akses mereka hanya ke sumber daya di akun Anda yang diperlukan. Dengan mengelola hak akses kepala layanan secara hati-hati, Anda dapat membantu mengurangi risiko layanan mengakses data atau sumber daya secara tidak benar yang seharusnya tidak memiliki izin.
Baca terus untuk panduan umum atau arahkan ke contoh untuk fitur SageMaker AI tertentu:
**Topics**
+ [Batasi Izin Dengan Kunci Kondisi Global](#security-confused-deputy-context-keys)
+ [SageMaker Manajer Tepi](#security-confused-deputy-edge-manager)
+ [SageMaker Gambar](#security-confused-deputy-images)
+ [SageMaker Inferensi AI](#security-confused-deputy-inference)
+ [SageMaker Pekerjaan AI Batch Transform](#security-confused-deputy-batch)
+ [SageMaker Marketplace AI](#security-confused-deputy-marketplace)
+ [SageMaker Neo](#security-confused-deputy-neo)
+ [SageMaker Pipa](#security-confused-deputy-pipelines)
+ [SageMaker Pekerjaan Processing](#security-confused-deputy-processing-job)
+ [SageMaker Studio](#security-confused-deputy-studio)
+ [SageMaker Lowongan Training](#security-confused-deputy-training-job)
## Batasi Izin Dengan Kunci Kondisi Global
Sebaiknya gunakan `[aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)` dan kunci kondisi `[aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)` global dalam kebijakan sumber daya untuk membatasi izin ke sumber daya yang diberikan Amazon SageMaker AI kepada layanan lain. Jika Anda menggunakan kunci kondisi global dan `aws:SourceArn` nilainya berisi ID akun, `aws:SourceAccount` nilai dan akun dalam `aws:SourceArn` nilai harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama. Gunakan `aws:SourceArn` jika Anda ingin hanya satu sumber daya yang akan dikaitkan dengan akses lintas layanan. Gunakan `aws:SourceAccount` jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan.
Cara paling efektif untuk melindungi dari masalah wakil yang membingungkan adalah dengan menggunakan kunci kondisi `aws:SourceArn` global dengan ARN penuh sumber daya. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi `aws:SourceArn` global dengan wildcard (`*`) untuk bagian ARN yang tidak diketahui. Misalnya, `arn:aws:sagemaker:*:{{123456789012}}:*`.
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan `aws:SourceArn` dan kunci kondisi `aws:SourceAccount` global di SageMaker AI untuk mencegah masalah wakil yang membingungkan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "{{sagemaker}}:{{StartSession}}",
"Resource": "arn:aws:{{sagemaker}}:{{us-east-1}}:{{123456789012}}:{{ResourceName}}/*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-east-1}}:{{123456789012}}:*"
},
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
}
}
}
}
```
------
## SageMaker Manajer Tepi
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi `aws:SourceArn` global untuk mencegah masalah wakil kebingungan lintas layanan untuk SageMaker Edge Manager yang dibuat berdasarkan nomor akun {{123456789012}} di {{us-west-2}} Wilayah.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:*"
}
}
}
}
```
------
Anda dapat mengganti `aws:SourceArn` dalam template ini dengan ARN lengkap dari satu pekerjaan pengemasan tertentu untuk membatasi izin lebih lanjut.
## SageMaker Gambar
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi `aws:SourceArn` global untuk mencegah masalah wakil lintas layanan yang membingungkan untuk [SageMaker Gambar](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-byoi.html). Gunakan template ini dengan salah satu `[Image](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Image.html)` atau`[ImageVersion](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ImageVersion.html)`. Contoh ini menggunakan `ImageVersion` catatan ARN dengan nomor rekening. {{123456789012}} Perhatikan bahwa karena nomor akun adalah bagian dari `aws:SourceArn` nilai, Anda tidak perlu menentukan `aws:SourceAccount` nilai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-east-2}}:{{123456789012}}:{{image-version}}/*"
}
}
}
}
```
------
Jangan mengganti `aws:SourceArn` dalam template ini dengan ARN lengkap dari gambar atau versi gambar tertentu. ARN harus dalam format yang disediakan di atas dan tentukan salah satu atau`image`. `image-version` `partition`Placeholder harus menunjuk partisi AWS komersial (`aws`) atau partisi di AWS Tiongkok (`aws-cn`), tergantung di mana gambar atau versi gambar berjalan. Demikian pula, `region` placeholder di ARN dapat berupa [Wilayah yang valid](https://docs.aws.amazon.com/sagemaker/latest/dg/regions-quotas.html) di mana SageMaker gambar tersedia.
## SageMaker Inferensi AI
[Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi `aws:SourceArn` global untuk mencegah masalah wakil kebingungan lintas layanan untuk inferensi SageMaker AI [real-time](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints), [tanpa server](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints), dan asinkron.](https://docs.aws.amazon.com/sagemaker/latest/dg/async-inference) Perhatikan bahwa karena nomor akun adalah bagian dari `aws:SourceArn` nilai, Anda tidak perlu menentukan `aws:SourceAccount` nilai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:*"
}
}
}
}
```
------
Jangan mengganti template ini dengan ARN lengkap dari model atau titik akhir tertentu. `aws:SourceArn` ARN harus dalam format yang disediakan di atas. Tanda bintang di template ARN tidak berarti wildcard dan tidak boleh diubah.
## SageMaker Pekerjaan AI Batch Transform
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi `aws:SourceArn` global untuk mencegah masalah deputi kebingungan lintas layanan untuk [pekerjaan transformasi batch SageMaker ](https://docs.aws.amazon.com/sagemaker/latest/dg/batch-transform.html) AI yang dibuat berdasarkan nomor akun {{123456789012}} di {{us-west-2}} Wilayah. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. `aws:SourceAccount`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:transform-job/*"
}
}
}
]
}
```
------
Anda dapat mengganti `aws:SourceArn` dalam template ini dengan ARN penuh dari satu pekerjaan transformasi batch tertentu untuk membatasi izin lebih lanjut.
## SageMaker Marketplace AI
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi `aws:SourceArn` global untuk mencegah masalah wakil lintas layanan yang membingungkan untuk sumber daya SageMaker AI Marketplace yang dibuat berdasarkan nomor akun {{123456789012}} di {{us-west-2}} Wilayah. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. `aws:SourceAccount`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:*"
}
}
}
]
}
```
------
Jangan mengganti `aws:SourceArn` dalam template ini dengan ARN lengkap dari algoritma atau paket model tertentu. ARN harus dalam format yang disediakan di atas. Tanda bintang dalam template ARN memang merupakan singkatan dari wildcard dan mencakup semua pekerjaan pelatihan, model, dan pekerjaan transformasi batch dari langkah validasi, serta paket algoritme dan model yang diterbitkan ke AI Marketplace. SageMaker
## SageMaker Neo
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi `aws:SourceArn` global untuk mencegah masalah wakil kebingungan lintas layanan untuk pekerjaan kompilasi SageMaker Neo yang dibuat oleh nomor akun {{123456789012}} di {{us-west-2}} Wilayah. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. `aws:SourceAccount`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:{{compilation-job/*}}"
}
}
}
]
}
```
------
Anda dapat mengganti `aws:SourceArn` dalam template ini dengan ARN lengkap dari satu pekerjaan kompilasi tertentu untuk membatasi izin lebih lanjut.
## SageMaker Pipa
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi `aws:SourceArn` global untuk mencegah masalah wakil lintas layanan yang membingungkan untuk [SageMaker Pipelines](https://docs.aws.amazon.com/sagemaker/latest/dg/pipelines-overview.html) menggunakan catatan eksekusi pipa dari satu atau lebih saluran pipa. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. `aws:SourceAccount`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-east-1}}:{{123456789012}}:pipeline/{{mypipeline/*}}"
}
}
}
]
}
```
------
Jangan mengganti `aws:SourceArn` dalam template ini dengan ARN penuh dari eksekusi pipeline tertentu. ARN harus dalam format yang disediakan di atas. `partition`Placeholder harus menunjuk partisi AWS komersial (`aws`) atau partisi di AWS Tiongkok (`aws-cn`), tergantung di mana pipa berjalan. Demikian pula, `region` placeholder di ARN dapat berupa [Wilayah yang valid](https://docs.aws.amazon.com/sagemaker/latest/dg/regions-quotas.html) di mana SageMaker Pipelines tersedia.
Tanda bintang di template ARN memang merupakan singkatan dari wildcard dan mencakup semua eksekusi pipeline dari pipeline bernama. `mypipeline` Jika Anda ingin mengizinkan `AssumeRole` izin untuk semua saluran pipa di akun `123456789012` daripada satu pipa tertentu, maka itu `aws:SourceArn` akan menjadi. `arn:aws:sagemaker:*:123456789012:pipeline/*`
## SageMaker Pekerjaan Processing
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi `aws:SourceArn` global untuk mencegah masalah wakil kebingungan lintas layanan untuk SageMaker Memproses pekerjaan yang dibuat oleh nomor akun {{123456789012}} di {{us-west-2}} Wilayah. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. `aws:SourceAccount`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:{{processing-job/*}}"
}
}
}
]
}
```
------
Anda dapat mengganti `aws:SourceArn` dalam template ini dengan ARN penuh dari satu pekerjaan pemrosesan tertentu untuk membatasi izin lebih lanjut.
## SageMaker Studio
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi `aws:SourceArn` global untuk mencegah masalah deputi kebingungan lintas layanan untuk SageMaker Studio yang dibuat berdasarkan nomor akun {{123456789012}} di {{us-west-2}} Wilayah. Perhatikan bahwa karena nomor akun adalah bagian dari `aws:SourceArn` nilai, Anda tidak perlu menentukan `aws:SourceAccount` nilai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:*"
}
}
}
]
}
```
------
Jangan mengganti `aws:SourceArn` dalam template ini dengan ARN lengkap dari aplikasi Studio tertentu, profil pengguna, atau domain. ARN harus dalam format yang disediakan pada contoh sebelumnya. Tanda bintang di template ARN tidak berarti wildcard dan tidak boleh diubah.
## SageMaker Lowongan Training
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi `aws:SourceArn` global untuk mencegah masalah wakil kebingungan lintas layanan untuk pekerjaan SageMaker pelatihan yang dibuat oleh nomor akun {{123456789012}} di {{us-west-2}} Wilayah. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. `aws:SourceAccount`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:{{us-west-2}}:{{123456789012}}:{{training-job/*}}"
}
}
}
]
}
```
------
Anda dapat mengganti `aws:SourceArn` dalam template ini dengan ARN lengkap dari satu pekerjaan pelatihan tertentu untuk membatasi izin lebih lanjut.
**Selanjutnya**
Untuk informasi selengkapnya tentang mengelola peran eksekusi, lihat [Peran SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles).