Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Serviceübergreifende Confused-Deputy-Prävention
Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine Entität, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine Entität mit größeren Rechten zwingen kann, die Aktion auszuführen. In kann AWS das Problem des verwirrten Stellvertreters aufgrund eines dienstübergreifenden Identitätswechsels auftreten. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der anrufende Dienst) einen anderen Dienst (den aufgerufenen Dienst) aufruft und die erhöhten Berechtigungen des aufgerufenen Dienstes nutzt, um auf Ressourcen zu reagieren, für die der anrufende Dienst keine Zugriffsberechtigung hat. AWS Bietet Tools, mit denen Sie Ihre Daten dienstübergreifend schützen können, um unbefugten Zugriff durch das Problem mit dem verwirrten Stellvertreter zu verhindern. Mit diesen Tools können Sie kontrollieren, welche Berechtigungen Dienstprinzipalen erteilt werden, und deren Zugriff nur auf die Ressourcen in Ihrem Konto beschränken, die erforderlich sind. Durch die sorgfältige Verwaltung der Zugriffsrechte von Service Principals können Sie das Risiko verringern, dass Dienste nicht ordnungsgemäß auf Daten oder Ressourcen zugreifen, für die sie keine Berechtigungen haben sollten.
Lesen Sie weiter, um allgemeine Hinweise zu erhalten, oder navigieren Sie zu einem Beispiel für eine bestimmte SageMaker KI-Funktion:
Themen
- Beschränken Sie Berechtigungen mit globalen Bedingungsschlüsseln
- SageMaker Edge-Manager
- SageMaker KI-Bilder
- SageMaker KI-Inferenz
- SageMaker Jobs zur Batch-Transformation mit KI
- SageMaker KI-Marktplatz
- SageMaker Neo
- SageMaker Pipelines
- SageMaker Jobs werden verarbeitet
- SageMaker Studio
- SageMaker Ausbildungsberufe
Beschränken Sie Berechtigungen mit globalen Bedingungsschlüsseln
Wir empfehlen, die globalen Bedingungsschlüssel aws:SourceArn und die aws:SourceAccount globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen auf die Ressource zu beschränken, die Amazon SageMaker AI einem anderen Service zur Verfügung stellt. Wenn Sie beide globalen Konditionsschlüssel verwenden und der aws:SourceArn Wert die Konto-ID enthält, müssen der aws:SourceAccount Wert und das Konto im aws:SourceArn Wert die gleiche Konto-ID verwenden, wenn sie in der gleichen Richtlinienanweisung verwendet werden. Verwenden Sie aws:SourceArn, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie aws:SourceAccount, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden.
Der effektivste Weg, sich vor dem Problem mit dem verwirrten Stellvertreter zu schützen, besteht darin, den aws:SourceArn globalen Bedingungsschlüssel mit ARN der gesamten Ressource zu verwenden. Wenn Sie die gesamte ARN Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den aws:SourceArn globalen Bedingungsschlüssel mit Platzhaltern (*) für die unbekannten Teile von. ARN Beispiel, arn:aws:sagemaker:*:.123456789012:*
Das folgende Beispiel zeigt, wie Sie die globalen Bedingungsschlüssel aws:SourceArn und die aws:SourceAccount globalen Bedingungsschlüssel in SageMaker KI verwenden können, um das Problem des verwirrten Stellvertreters zu verhindern.
{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, # Specify an action and resource policy for another service "Action": "service:ActionName", "Resource": [ "arn:aws:service:::ResourceName/*" ], "Condition": { "ArnLike": { "aws:SourceArn": "arn:partition:sagemaker:region:123456789012:*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } }
SageMaker Edge-Manager
Das folgende Beispiel zeigt, wie Sie den aws:SourceArn globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Problem mit verwirrtem Deputy für SageMaker Edge Manager zu verhindern, das durch die Kontonummer 123456789012 in der us-west-2 Region verursacht wird.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*" } } } }
Sie können den aws:SourceArn in dieser Vorlage enthaltenen Auftrag durch einen vollständigen ARN Paketierungsauftrag ersetzen, um die Berechtigungen weiter einzuschränken.
SageMaker KI-Bilder
Das folgende Beispiel zeigt, wie Sie den aws:SourceArn globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Problem Confused Deputy für SageMaker AI Images zu verhindern. Verwenden Sie diese Vorlage entweder mit Image oder ImageVersion. In diesem Beispiel wird ein ImageVersion Datensatz ARN mit der Kontonummer 123456789012 verwendet. Beachten Sie, dass Sie keinen aws:SourceAccount Wert angeben müssen, da die Kontonummer Teil des aws:SourceArn Werts ist.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:partition:sagemaker:us-west-2:123456789012:image-version" } } } }
Ersetzen Sie das aws:SourceArn in dieser Vorlage nicht durch das vollständige ARN Bild oder die Bildversion. Das ARN muss das oben angegebene Format haben und entweder image oder angebenimage-version. Der partition Platzhalter sollte entweder eine AWS kommerzielle Partition (aws) oder eine Partition AWS in China (aws-cn) bezeichnen, je nachdem, wo das Image oder die Image-Version ausgeführt wird. Ebenso ARN kann der region Platzhalter in jeder gültigen Region sein, in der SageMaker KI-Bilder verfügbar sind.
SageMaker KI-Inferenz
Das folgende Beispiel zeigt, wie Sie den aws:SourceArn globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Confused Deputy Problem für SageMaker KI-Echtzeit -, serverlose und asynchrone Inferenz zu verhindern. Beachten Sie, dass Sie keinen aws:SourceAccount Wert angeben müssen, da die Kontonummer Teil des aws:SourceArn Werts ist.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*" } } } }
Ersetzen Sie den Wert aws:SourceArn in dieser Vorlage nicht durch den vollständigen Wert ARN eines bestimmten Modells oder Endpunkts. Das ARN muss in dem oben angegebenen Format vorliegen. Das Sternchen in der ARN Vorlage steht nicht für Platzhalter und sollte nicht geändert werden.
SageMaker Jobs zur Batch-Transformation mit KI
Das folgende Beispiel zeigt, wie Sie den aws:SourceArn globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Problem des verwirrten Stellvertreters bei SageMaker AI-Batch-Transformationsaufträgen zu verhindern, die nach Kontonummer 123456789012 in der us-west-2 Region erstellt wurden. Beachten Sie, dass Sie keinen aws:SourceAccount Wert angeben müssenARN, da sich die Kontonummer in der befindet.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:transform-job/*" } } } ] }
Sie können den aws:SourceArn in dieser Vorlage enthaltenen Auftrag durch einen vollständigen ARN Batch-Transformationsauftrag ersetzen, um die Berechtigungen weiter einzuschränken.
SageMaker KI-Marktplatz
Das folgende Beispiel zeigt, wie Sie den aws:SourceArn globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Problem des verwirrten Stellvertreters für SageMaker AI Marketplace-Ressourcen zu verhindern, die anhand der Kontonummer 123456789012 in der us-west-2 Region erstellt wurden. Beachten Sie, dass Sie keinen aws:SourceAccount Wert angeben müssenARN, da sich die Kontonummer in der befindet.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*" } } } ] }
Ersetzen Sie das aws:SourceArn in dieser Vorlage enthaltene Paket nicht durch das vollständige Paket ARN eines bestimmten Algorithmus oder Modells. Das ARN muss in dem oben angegebenen Format vorliegen. Das Sternchen in der ARN Vorlage steht für Platzhalter und deckt alle Trainingsjobs, Modelle und Batch-Transformationsjobs aus Validierungsschritten sowie Algorithmus- und Modellpakete ab, die auf SageMaker AI Marketplace veröffentlicht wurden.
SageMaker Neo
Das folgende Beispiel zeigt, wie Sie den aws:SourceArn globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Confused Deputy Problem bei SageMaker Neo-Kompilierungsaufträgen zu verhindern, die anhand der Kontonummer 123456789012 in der us-west-2 Region erstellt wurden. Beachten Sie, dass Sie keinen aws:SourceAccount Wert angeben müssenARN, da sich die Kontonummer in der befindet.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:compilation-job/*" } } } ] }
Sie können den aws:SourceArn in dieser Vorlage enthaltenen Befehl durch den vollständigen ARN Kompilierungsauftrag ersetzen, um die Berechtigungen weiter einzuschränken.
SageMaker Pipelines
Das folgende Beispiel zeigt, wie Sie mithilfe des aws:SourceArn globalen Bedingungsschlüssels verhindern können, dass SageMaker Pipelines mithilfe von Pipeline-Ausführungsdatensätzen aus einer oder mehreren Pipelines das dienstübergreifende Problem verwirrter Deployes auftreten. Beachten Sie, dass Sie keinen Wert angeben müssenARN, da sich die Kontonummer in der befindet. aws:SourceAccount
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:partition:sagemaker:region:123456789012:pipeline/mypipeline/*" } } } ] }
Ersetzen Sie die Ausführung aws:SourceArn in dieser Vorlage nicht durch die vollständige Ausführung ARN einer bestimmten Pipeline. Das ARN muss in dem oben angegebenen Format vorliegen. Der partition Platzhalter sollte entweder eine AWS kommerzielle Partition (aws) oder eine Partition AWS in China (aws-cn) bezeichnen, je nachdem, wo die Pipeline läuft. In ähnlicher Weise ARN kann der region Platzhalter in jeder gültigen Region stehen, in der SageMaker Pipelines verfügbar ist.
Das Sternchen in der ARN Vorlage steht für Platzhalter und steht für alle Pipeline-Ausführungen einer Pipeline mit dem Namen. mypipeline Wenn Sie die AssumeRole Berechtigungen für alle Pipelines im Konto 123456789012 und nicht für eine bestimmte Pipeline gewähren möchten, dann wäre der aws:SourceArn gleich arn:aws:sagemaker:*:123456789012:pipeline/*.
SageMaker Jobs werden verarbeitet
Das folgende Beispiel zeigt, wie Sie den aws:SourceArn globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Problem des verwirrten Stellvertreters bei der SageMaker Verarbeitung von Aufträgen zu verhindern, die nach Kontonummer 123456789012 in der us-west-2 Region erstellt wurden. Beachten Sie, dass Sie keinen aws:SourceAccount Wert angeben müssenARN, da sich die Kontonummer in der befindet.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:processing-job/*" } } } ] }
Sie können den aws:SourceArn in dieser Vorlage enthaltenen Text durch den vollständigen Wert ARN eines bestimmten Verarbeitungsauftrags ersetzen, um die Berechtigungen weiter einzuschränken.
SageMaker Studio
Das folgende Beispiel zeigt, wie Sie den aws:SourceArn globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Problem der verwirrten Deputy in SageMaker Studio zu verhindern, das durch die Kontonummer 123456789012 in der us-west-2 Region verursacht wurde. Beachten Sie, dass Sie keinen aws:SourceAccount Wert angeben müssen, da die Kontonummer Teil des aws:SourceArn Werts ist.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*" } } } ] }
Ersetzen Sie das aws:SourceArn in dieser Vorlage nicht durch das vollständige Bild ARN einer bestimmten Studio-Anwendung, eines Benutzerprofils oder einer Domäne. Das ARN muss in dem Format vorliegen, das im vorherigen Beispiel angegeben wurde. Das Sternchen in der ARN Vorlage steht nicht für Platzhalter und sollte nicht geändert werden.
SageMaker Ausbildungsberufe
Das folgende Beispiel zeigt, wie Sie den aws:SourceArn globalen Bedingungsschlüssel verwenden können, um das dienststellenübergreifende Problem der verwirrten Stellvertreter bei SageMaker Schulungsjobs zu vermeiden, die nach Kontonummer 123456789012 in der us-west-2 Region erstellt wurden. Beachten Sie, dass Sie keinen aws:SourceAccount Wert angeben müssenARN, da sich die Kontonummer in der befindet.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:training-job/*" } } } ] }
Sie können den aws:SourceArn in dieser Vorlage enthaltenen Namen durch den vollständigen Teil ARN eines bestimmten Schulungsauftrags ersetzen, um die Berechtigungen weiter einzuschränken.
Nächstes Thema
Weitere Informationen zur Verwaltung von Ausführungsrollen finden Sie unter SageMaker KI-Rollen.
