翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 高度なアクセスコントロール
<a name="remote-access-remote-setup-abac"></a>

Amazon SageMaker AI は[、属性ベースのアクセスコントロール (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) をサポートし、ABAC ポリシーを使用してリモート IDE 接続のきめ細かなアクセスコントロールを実現します。リモート IDE 接続の ABAC ポリシーの例を次に示します。

**Topics**
+ [リモートアクセスの適用](#remote-access-remote-setup-abac-remote-access-enforcement)
+ [タグベースのアクセス制御](#remote-access-remote-setup-abac-tag-based-access-control)

## リモートアクセスの適用
<a name="remote-access-remote-setup-abac-remote-access-enforcement"></a>

`sagemaker:RemoteAccess` 条件キーを使用して、リソースへのアクセスを制御します。これは、`CreateSpace` と `UpdateSpace` API の両方でサポートされています。次の例では `CreateSpace` を使用しています。

リモートアクセスが有効になっているスペースをユーザーが作成できないようにすることができます。これにより、アクセス設定の制限が強化され、セキュリティを維持できます。次のポリシーにより、ユーザーは以下を実行できます。
+ リモートアクセスが明示的に無効になっている新しい Studio スペースを作成する。
+ リモートアクセス設定を指定せずに、新しい Studio スペースを作成する。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyCreateSpaceRemoteAccessEnabled",
            "Effect": "Deny",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:RemoteAccess": [
                        "ENABLED"
                    ]
                }
            }
        },
        {
            "Sid": "AllowCreateSpace",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:UpdateSpace"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*"
        }
    ]
}
```

------

## タグベースのアクセス制御
<a name="remote-access-remote-setup-abac-tag-based-access-control"></a>

[タグベース](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/what-are-tags.html)のアクセスコントロールを実装すると、リソースタグとプリンシパルタグに基づいて接続を制限できます。

ユーザーは、自分自身のロールとプロジェクトの割り当てに適したリソースにのみアクセスできるようになります。次のポリシーを使用すると、以下が可能です。
+ 割り当てられたチーム、環境、コストセンターに一致するスペースにのみ接続することをユーザーに許可する。
+ 組織構造に基づいて、きめ細かいアクセスコントロールを実装する。

次の例では、スペースに次のタグが付けられています。

```
{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }
```

リソースタグとプリンシパルタグのを照合するために、ロールに次のポリシーを追加できます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnTaggedSpacesInDomain",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": [
                "arn:aws:sagemaker:{{us-east-1}}:{{111122223333}}:space/{{domain-id}}/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
                    "aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
                    "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}",
                    "aws:ResourceTag/IDC_UserName": "${aws:PrincipalTag/IDC_UserName}"
                }
            }
        }
    ]
}
```

------

ロールのタグが一致すると、ユーザーはセッションを開始し、自分自身のスペースにリモート接続するアクセス許可を持つことができます。詳細については、「[タグを使用した AWS リソースへのアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)」を参照してください。