Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controllo degli accessi avanzato
Amazon SageMaker AI supporta il controllo degli [accessi basato sugli attributi (ABAC) per ottenere un controllo](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) granulare degli accessi per le connessioni IDE remote utilizzando le politiche ABAC. Di seguito sono riportati alcuni esempi di politiche ABAC per connessioni IDE remote.
**Topics**
+ [Applicazione dell’accesso remoto](#remote-access-remote-setup-abac-remote-access-enforcement)
+ [Controllo degli accessi basato su tag](#remote-access-remote-setup-abac-tag-based-access-control)
## Applicazione dell’accesso remoto
Controlla l’accesso alle risorse utilizzando la chiave di condizione `sagemaker:RemoteAccess`. Questo è supportato sia da che`CreateSpace`. `UpdateSpace` APIs Nell'esempio seguente viene utilizzato `CreateSpace`.
Puoi impedire agli utenti di creare spazi con l’accesso remoto abilitato. Limitando le impostazioni predefinite di accesso, puoi garantire una maggiore sicurezza. La policy seguente consente agli utenti di:
+ Creare nuovi spazi Studio in cui l’accesso remoto è esplicitamente disabilitato.
+ Creare nuovi spazi Studio senza specificare alcuna impostazione di accesso remoto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyCreateSpaceRemoteAccessEnabled",
"Effect": "Deny",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/*",
"Condition": {
"StringEquals": {
"sagemaker:RemoteAccess": [
"ENABLED"
]
}
}
},
{
"Sid": "AllowCreateSpace",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/*"
}
]
}
```
------
## Controllo degli accessi basato su tag
Implementa il controllo degli accessi [basato su tag](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/what-are-tags.html) per limitare le connessioni in base ai tag di risorse e principali.
Puoi limitare l’accesso degli utenti esclusivamente alle risorse appropriate per i loro ruoli e le loro assegnazioni di progetto. Puoi utilizzare la policy seguente per:
+ Consentire agli utenti di connettersi solo agli spazi che corrispondono al team, all’ambiente e al centro di costo assegnato.
+ Implementare un controllo granulare degli accessi basato sulla struttura organizzativa.
In questo esempio, lo spazio contiene i tag seguenti:
```
{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }
```
È possibile avere un ruolo che contiene la policy seguente che associa i tag delle risorse e i tag dei principali:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictStartSessionOnTaggedSpacesInDomain",
"Effect": "Allow",
"Action": [
"sagemaker:StartSession"
],
"Resource": [
"arn:aws:sagemaker:{{us-east-1}}:{{111122223333}}:space/{{domain-id}}/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
"aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
"aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}",
"aws:ResourceTag/IDC_UserName": "${aws:PrincipalTag/IDC_UserName}"
}
}
}
]
}
```
------
Quando i tag del ruolo corrispondono, l’utente è autorizzato ad avviare la sessione e a connettersi in remoto al proprio spazio. Per ulteriori informazioni, consulta [Controllo dell’accesso alle risorse AWS con i tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).