使用AWS re:Post即您表示您同意 AWS re:Post 使用条款

SageMaker Studio 权限的 Venn 图?

0

【以下的问题经过翻译处理】 如果一个 Space 执行角色和一个 User Profile 执行角色被赋予了不同的权限,这两个角色之间是否存在权限重叠?它的表现行为是否与服务控制策略(SCP)和IAM角色上的策略一样,重叠才会生效?例如,如果 Space 执行角色明确拒绝(或即使是隐式拒绝!) CreateApp 权限,但 User Profile 执行角色明确允许 CreateApp 权限,那么该 User Profile 将无法创建应用程序吗?

1 回答
0

【以下的回答经过翻译处理】 嗨,Yann,User Profile 的执行角色将在 User Profile 的私有应用程序上下文中使用。因此,一旦用户点击 "Launch"->"Studio"或通过 SSO 重定向到 Studio UI,用户的执行角色将允许他们启动应用程序,如数据科学应用程序、数据管理程序等。

默认的 Space 执行角色是用户进入共享 Space 后所承担的角色。因此,一旦用户通过单击 "Launch"->"Spaces"进入用户界面,用户就无法在该 Space 内创建应用程序来运行笔记本。

简而言之,它们是两个不同的角色,分别给予用户私有 Space 或共享 Space 的权限,其工作方式与SCP不同。从今天起,域内共享 Space 中的任何用户都将共享相同的执行角色。然而,对于私有 Space,每个 User Profile 都可以根据需要拥有自己的角色。

profile picture
专家
已回答 1 年前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则