Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Richten Sie den Fernzugriff ein
Bevor Benutzer ihren lokalen Visual Studio-Code mit Studio Spaces verbinden können, muss der Administrator Berechtigungen konfigurieren. Dieser Abschnitt enthält Anweisungen für Administratoren zur Einrichtung ihrer Amazon SageMaker AI-Domain mit Fernzugriff.
Verschiedene Verbindungsmethoden erfordern unterschiedliche IAM-Berechtigungen. Konfigurieren Sie die entsprechenden Berechtigungen je nachdem, wie Ihre Benutzer eine Verbindung herstellen werden. Verwenden Sie den folgenden Workflow zusammen mit den Berechtigungen, die auf die Verbindungsmethode abgestimmt sind.
-
Wählen Sie eine der folgenden Verbindungsmethodenberechtigungen, die auf Ihre Benutzer abgestimmt sind Verbindungsmethoden
-
Erstellen Sie eine benutzerdefinierte IAM-Richtlinie auf der Grundlage der Verbindungsmethodenberechtigung
Themen
Schritt 1: Konfigurieren Sie Sicherheit und Berechtigungen
Themen
Methode 1: Deep-Link-Berechtigungen
Verwenden Sie für Benutzer, die über Deeplinks von der SageMaker Benutzeroberfläche aus eine Verbindung herstellen, die folgende Berechtigung und fügen Sie sie Ihrer SageMaker AI-Space-Ausführungsrolle oder Domain-Ausführungsrolle hinzu. Wenn die Space-Ausführungsrolle nicht konfiguriert ist, wird standardmäßig die Domain-Ausführungsrolle verwendet.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictStartSessionOnSpacesToUserProfile", "Effect": "Allow", "Action": [ "sagemaker:StartSession" ], "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "ArnLike": { "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" } } } ] }
Methode 2: AWS Toolkit-Berechtigungen
Fügen Sie für Benutzer, die eine Verbindung über die AWS Toolkit for Visual Studio Code Erweiterung herstellen, die folgende Richtlinie einer der folgenden Richtlinien bei:
-
Fügen Sie für die IAM-Authentifizierung diese Richtlinie dem IAM-Benutzer oder der IAM-Rolle hinzu
-
Fügen Sie für die IdC-Authentifizierung diese Richtlinie den vom IdC verwalteten Berechtigungssätzen hinzu
Wichtig
Die folgende Richtlinie, die * als Ressourcenbeschränkung verwendet wird, wird nur für schnelle Testzwecke empfohlen. In Produktionsumgebungen sollten Sie diese Berechtigungen auf bestimmte Bereiche beschränken, ARNs um das Prinzip der geringsten Rechte durchzusetzen. Beispiele Erweiterte Zugriffskontrolle für detailliertere Berechtigungsrichtlinien unter Verwendung von Ressourcen- ARNs, Tags- und netzwerkbasierten Einschränkungen finden Sie unter.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:ListSpaces", "sagemaker:DescribeSpace", "sagemaker:UpdateSpace", "sagemaker:ListApps", "sagemaker:CreateApp", "sagemaker:DeleteApp", "sagemaker:DescribeApp", "sagemaker:StartSession", "sagemaker:DescribeDomain", "sagemaker:AddTags" ], "Resource": "*" } ] }
Methode 3: SSH-Terminalberechtigungen
Für SSH-Terminalverbindungen wird die StartSession API mit dem unten stehenden SSH-Proxy-Befehlsskript unter Verwendung der lokalen Anmeldeinformationen aufgerufen. AWS Informationen und Anweisungen AWS CLI zum Einrichten der lokalen AWS Anmeldeinformationen der Benutzer finden Sie unter Konfiguration der. So verwenden Sie diese Berechtigungen:
-
Hängen Sie diese Richtlinie dem IAM-Benutzer oder der IAM-Rolle an, der den lokalen AWS Anmeldeinformationen zugeordnet ist.
-
Wenn Sie ein benanntes Anmeldeinformationsprofil verwenden, ändern Sie den Proxy-Befehl in Ihrer SSH-Konfiguration:
ProxyCommand '/home/user/sagemaker_connect.sh' '%h'YOUR_CREDENTIAL_PROFILE_NAMEAnmerkung
Die Richtlinie muss an die IAM-Identität (Benutzer/Rolle) angehängt werden, die in Ihrer Konfiguration der lokalen AWS Anmeldeinformationen verwendet wurde, nicht an die Amazon SageMaker AI-Domänenausführungsrolle.
Wichtig
Die Verwendung der folgenden Richtlinie
*als Ressourcenbeschränkung wird nur zu Schnelltestzwecken empfohlen. In Produktionsumgebungen sollten Sie diese Berechtigungen auf bestimmte Bereiche beschränken, ARNs um das Prinzip der geringsten Rechte durchzusetzen. Beispiele Erweiterte Zugriffskontrolle für detailliertere Berechtigungsrichtlinien unter Verwendung von Ressourcen- ARNs, Tags- und netzwerkbasierten Einschränkungen finden Sie unter.{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "sagemaker:StartSession", "Resource": "*" } ] }
Nach der Einrichtung können Benutzer den Space startenssh my_studio_space_abc, um ihn zu starten. Weitere Informationen finden Sie unter Methode 3: Stellen Sie vom Terminal aus eine Verbindung über SSH-CLI her.
Schritt 2: Aktivieren Sie den Fernzugriff für Ihren Bereich
Nachdem Sie die Berechtigungen eingerichtet haben, müssen Sie den Fernzugriff aktivieren und Ihren Bereich in Studio starten, bevor der Benutzer mit seinem lokalen VS-Code eine Verbindung herstellen kann. Diese Einrichtung muss nur einmal durchgeführt werden.
Anmerkung
Wenn Ihre Benutzer eine Verbindung herstellenMethode 2: AWS Toolkit-Berechtigungen, benötigen Sie diesen Schritt nicht unbedingt. AWS Toolkit for Visual Studio Benutzer können den Fernzugriff über das Toolkit aktivieren.
Aktivieren Sie den Fernzugriff für Ihren Studio-Bereich
-
Öffnen Sie die Studio-Benutzeroberfläche.
-
Navigiere zu deinem Bereich.
-
Aktiviere in den Bereichsdetails die Option Fernzugriff.
-
Wählen Sie Space ausführen.
