As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controle de acesso avançado
O Amazon SageMaker AI oferece suporte [ao controle de acesso baseado em atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) para obter um controle de acesso refinado para conexões remotas de IDE usando políticas ABAC. Veja a seguir exemplos de políticas ABAC para conexões remotas do IDE.
**Topics**
+ [Imposição do acesso remoto](#remote-access-remote-setup-abac-remote-access-enforcement)
+ [Tag-based controle de acesso](#remote-access-remote-setup-abac-tag-based-access-control)
## Imposição do acesso remoto
Controle o acesso aos recursos usando a chave de condição `sagemaker:RemoteAccess`. Isso é possível por meio das APIs `CreateSpace` e `UpdateSpace`. O exemplo a seguir usa `CreateSpace`.
É possível garantir que os usuários não consigam criar espaços com o acesso remoto habilitado. Isso ajuda a manter a segurança, usando configurações de acesso mais restritas por padrão. A seguinte política garante que os usuários possam:
+ Criar espaços do Studio onde o acesso remoto esteja explicitamente desabilitado.
+ Criar espaços do Studio sem especificar nenhuma configuração de acesso remoto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyCreateSpaceRemoteAccessEnabled",
"Effect": "Deny",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/*",
"Condition": {
"StringEquals": {
"sagemaker:RemoteAccess": [
"ENABLED"
]
}
}
},
{
"Sid": "AllowCreateSpace",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/*"
}
]
}
```
------
## Tag-based controle de acesso
Implemente o controle de acesso [baseado em tags](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/what-are-tags.html) para restringir conexões de acordo com os recursos e as tags de entidade principal.
Você pode garantir que os usuários possam acessar somente os recursos apropriados para as respectivas atribuições de perfil e projeto. Você pode usar a seguinte política para:
+ Permitir que os usuários se conectem somente a espaços que correspondam à equipe, ao ambiente e ao centro de custos designados.
+ Implementar controle de acesso refinado com base na estrutura organizacional.
No exemplo a seguir, o espaço é marcado com o seguinte:
```
{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }
```
Você pode ter um perfil que contenha a seguinte política para estabelecer correspondência com as tags de recurso e de entidade principal:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictStartSessionOnTaggedSpacesInDomain",
"Effect": "Allow",
"Action": [
"sagemaker:StartSession"
],
"Resource": [
"arn:aws:sagemaker:{{us-east-1}}:{{111122223333}}:space/{{domain-id}}/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
"aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
"aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}",
"aws:ResourceTag/IDC_UserName": "${aws:PrincipalTag/IDC_UserName}"
}
}
}
]
}
```
------
Quando as tags do perfil correspondem à política, o usuário tem permissão para iniciar a sessão e se conectar remotamente ao espaço dele. Para ter mais informações, consulte [Controlar o acesso a recursos da AWS usando tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).