本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
防范跨服务混淆代理
混淆代理问题是一个安全问题,即没有执行操作权限的实体可能会迫使更具权限的实体执行该操作。在中 Amazon,由于跨服务模仿,可能会出现混乱的副手问题。当一个服务(调用服务)调用另一个服务(被叫服务)并利用被叫服务的提升权限对调用服务无权访问的资源进行操作时,就会发生跨服务模仿。为了防止通过混乱的副手问题进行未经授权的访问, Amazon 提供了一些工具来帮助保护您的跨服务数据。这些工具可帮助您控制授予服务委托人的权限,限制他们只能访问您账户中所需的资源。通过仔细管理服务主体的访问权限,可以帮助降低服务不当访问其本不应拥有权限的数据或资源的风险。
请继续阅读以获取一般指导或浏览特定 SageMaker 功能的示例:
主题
使用全局条件键限制权限
我们建议在资源策略中使用aws:SourceArn和aws:SourceAccount全局条件密钥来限制对 Amazon SageMaker 提供的其他服务的资源的权限。如果同时使用全局条件键和包含账户 ID 的 aws:SourceArn 值,则 aws:SourceAccount 值和 aws:SourceArn 值中的账户在同一策略语句中使用时,必须使用相同的账户 ID。如果您只希望将一个资源与跨服务访问相关联,请使用 aws:SourceArn。如果您想允许该账户中的任何资源与跨服务使用操作相关联,请使用 aws:SourceAccount。
防范混淆代理问题的有效方法是使用 aws:SourceArn 全局条件键和资源的完整 ARN。如果您不知道资源的完整 ARN,或者您正在指定多个资源,请针对 ARN 未知部分使用带有通配符 (*) 的 aws:SourceArn 全局条件键。例如,arn:aws:sagemaker:*:。123456789012:*
以下示例显示了如何在中使用aws:SourceArn和aws:SourceAccount全局条件键 SageMaker 来防止出现混淆的副手问题。
{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, # Specify an action and resource policy for another service "Action": "service:ActionName", "Resource": [ "arn:aws:service:::ResourceName/*" ], "Condition": { "ArnLike": { "aws:SourceArn": "arn:partition:sagemaker:region:123456789012:*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } }
SageMaker 边缘管理器
以下示例显示了如何使用aws:SourceArn全局条件密钥来防止 us-west-2 区域的账号为 1234567890 12 创建的 SageMaker Edge Manager 的跨服务混淆代理问题。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*" } } } }
您可以将此模板中的 aws:SourceArn 替换为特定打包作业的完整 ARN,以进一步限制权限。
SageMaker 图片
以下示例显示了如何使用aws:SourceArn全局条件键来防止 I SageMaker mages 出现跨服务混淆副手问题。将此模板与 Image 或 ImageVersion 一起使用。本例使用账号为 123456789012 的 ImageVersion 记录 ARN。请注意,由于账号是 aws:SourceArn 值的一部分,因此您无需指定 aws:SourceAccount 值。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:partition:sagemaker:us-west-2:123456789012:image-version" } } } }
请勿将此模板中的 aws:SourceArn 替换为特定映像或映像版本的完整 ARN。ARN 必须采用上面提供的格式,并指定 image 或 image-version。partition占位符应指定 Amazon 商业分区 (aws) 或中国分区 (aws-cn),具体取决于映像或镜像版本的运行位置。 Amazon 同样,ARN 中的region占位符可以是任何有图片可用的有效 SageMaker 区域。
SageMaker 推断
以下示例显示了如何使用aws:SourceArn全局条件键来防止 SageMaker 实时、无服务器和异步推理的跨服务混淆代理问题。请注意,由于账号是 aws:SourceArn 值的一部分,因此您无需指定 aws:SourceAccount 值。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*" } } } }
请勿将此模板中的 aws:SourceArn 替换为特定模型或端点的完整 ARN。ARN 必须采用上面提供的格式。ARN 模板中的星号不代表通配符,不应更改。
SageMaker Batch 转换作业
以下示例显示了如何使用请注意,由于账号在 ARN 中,因此无需指定 aws:SourceArn全局条件键来防止在 us-west-2 区域中由账号为 1234567890 12 创建的 SageMaker 批量转换作业出现跨服务混淆的代理问题。aws:SourceAccount 值。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:transform-job/*" } } } ] }
您可以将此模板中的 aws:SourceArn 替换为特定批量转换作业的完整 ARN,以进一步限制权限。
SageMaker Marketp
以下示例显示了如何使用请注意,由于账号在 ARN 中,因此无需指定 aws:SourceArn全局条件密钥来防止 us-west-2 区域的账号为 1234567890 12 创建的 SageMaker Marketplace 资源出现跨服务混淆代理问题。aws:SourceAccount 值。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*" } } } ] }
请勿将此模板中的 aws:SourceArn 替换为特定算法或模型包的完整 ARN。ARN 必须采用上面提供的格式。ARN 模板中的星号确实代表通配符,涵盖了验证步骤中的所有训练作业、模型和批量转换作业,以及发布到 Marketplace 的算法和模型包。 SageMaker
SageMaker Neo
以下示例显示了如何使用请注意,由于账号在 ARN 中,因此无需指定 aws:SourceArn全局条件键来防止 us-west-2 区域中账号为 1234567890 12 创建的 SageMaker Neo 编译任务出现跨服务混淆的代理问题。aws:SourceAccount 值。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:compilation-job/*" } } } ] }
您可以将此模板中的 aws:SourceArn 替换为特定编译作业的完整 ARN,以进一步限制权限。
SageMaker 管道
以下示例显示了如何使用aws:SourceArn全局条件键来防止使用来自一个或多个管道的管道执行记录的SageMaker 管道出现跨服务混淆副手问题。请注意,由于账号在 ARN 中,因此无需指定 aws:SourceAccount 值。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:partition:sagemaker:region:123456789012:pipeline/mypipeline/*" } } } ] }
请勿将此模板中的 aws:SourceArn 替换为特定管道执行的完整 ARN。ARN 必须采用上面提供的格式。partition占位符应指定 Amazon 商业分区 (aws) 或中国分区 (aws-cn),具体取决于管道的运行位置。 Amazon 同样,ARN 中的region占位符可以是任何可用管道的有效 SageMaker 区域。
ARN 模板中的星号代表通配符,涵盖名为 mypipeline 的管道的所有管道执行。如果要允许账户 123456789012 中的所有管道而不是某个特定管道使用 AssumeRole 权限,则 aws:SourceArn 应为 arn:aws:sagemaker:*:123456789012:pipeline/*。
SageMaker 处理作业
以下示例显示了如何使用请注意,由于账号在 ARN 中,因此无需指定 aws:SourceArn全局条件键来防止在 SageMaker 处理 us-west-2 区域的账号为 1234567890 12 创建的任务时出现跨服务混淆的代理问题。aws:SourceAccount 值。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:processing-job/*" } } } ] }
您可以将此模板中的 aws:SourceArn 替换为特定处理作业的完整 ARN,以进一步限制权限。
SageMaker 工作室
以下示例显示了如何使用请注意,由于账号是 aws:SourceArn全局条件键来防止 us-west-2 区域的账号为 1234567890 12 的 SageMaker Studio 出现跨服务混淆代理问题。aws:SourceArn 值的一部分,因此您无需指定 aws:SourceAccount 值。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*" } } } ] }
请勿将此模板中的 aws:SourceArn 替换为特定 Studio 应用程序、用户配置文件或域的完整 ARN。ARN 必须采用前面示例中提供的格式。ARN 模板中的星号不代表通配符,不应更改。
SageMaker 培训工作
以下示例显示了如何使用请注意,由于账号在 ARN 中,因此无需指定 aws:SourceArn全局条件键来防止在 us-west-2 区域中通过账号为 1234567890 12 创建的 SageMaker 培训作业出现跨服务混淆的代理问题。aws:SourceAccount 值。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sagemaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:training-job/*" } } } ] }
您可以将此模板中的 aws:SourceArn 替换为特定训练作业的完整 ARN,以进一步限制权限。
后续步骤
有关管理执行角色的更多信息,请参阅SageMaker 角色。