Einrichten des Remotezugriffs - Amazon SageMaker KI
Schritt 1: Konfigurieren von Sicherheit und BerechtigungenSchritt 2: Aktivieren des Remotezugriffs für Ihren Bereich

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten des Remotezugriffs

Bevor Benutzer ihren lokalen Visual-Studio-Code mit Studio-Bereichen verbinden können, muss der Administrator Berechtigungen konfigurieren. Dieser Abschnitt enthält Anweisungen für Administratoren zur Einrichtung ihrer Amazon SageMaker AI-Domain mit Fernzugriff.

Verschiedene Verbindungsmethoden erfordern unterschiedliche IAM-Berechtigungen. Konfigurieren Sie die entsprechenden Berechtigungen – je nachdem, wie Ihre Benutzer eine Verbindung herstellen werden. Verwenden Sie den folgenden Workflow zusammen mit den Berechtigungen, die auf die Verbindungsmethode abgestimmt sind.

Wichtig

Derzeit werden IDE-Remoteverbindungen mit IAM-Anmeldeinformationen authentifiziert, nicht mit IAM Identity Center. Dies gilt für Domains, die die Authentifizierungsmethode IAM Identity Center verwenden, damit Ihre Benutzer auf die Domain zugreifen. Wenn Sie die IAM-Authentifizierung für Remoteverbindungen lieber nicht verwenden, können Sie sich abmelden, indem Sie diese Funktion mithilfe des bedingten RemoteAccess-Schlüssels in Ihren IAM-Richtlinien deaktivieren. Weitere Informationen finden Sie unter Durchsetzung des Remotezugriffs. Wenn Sie IAM-Anmeldeinformationen verwenden, kann die lokale IDE-Verbindung (Visual Studio Code) aktive Sitzungen aufrechterhalten, auch wenn Sie sich von Ihrer IAM Identity Center-Sitzung abmelden. Manchmal können diese lokalen IDE-Verbindungen (Visual Studio Code) bis zu 12 Stunden bestehen bleiben. Um die Sicherheit Ihrer Umgebung zu gewährleisten, müssen Administratoren nach Möglichkeit die Einstellungen für die Sitzungsdauer überprüfen und vorsichtig sein, wenn sie gemeinsam genutzte Arbeitsstationen oder öffentliche Netzwerke verwenden.

  1. Wählen Sie eine der folgenden Berechtigungen für Verbindungsmethoden aus, die auf die Verbindungsmethoden Ihrer Benutzer abgestimmt sind.

  2. Erstellen Sie eine benutzerdefinierte IAM-Richtlinie auf der Grundlage der Verbindungsmethodenberechtigung.

Themen

Schritt 1: Konfigurieren von Sicherheit und Berechtigungen

Wichtig

Die Verwendung umfassender Berechtigungen fürsagemaker:StartSession, insbesondere mit einer Wildcard-Ressource, * birgt das Risiko, dass jeder Benutzer mit dieser Berechtigung eine Sitzung mit einer beliebigen SageMaker Space-App im Konto initiieren kann. Dies kann dazu führen, dass Datenwissenschaftler ungewollt auf die Spaces anderer Nutzer SageMaker zugreifen. In Produktionsumgebungen sollten Sie diese Berechtigungen auf bestimmte Bereiche beschränken, ARNs um das Prinzip der geringsten Rechte durchzusetzen. Beispiele Erweiterte Zugriffssteuerung für detailliertere Berechtigungsrichtlinien mit Ressourcen- ARNs, Tags- und netzwerkbasierten Einschränkungen finden Sie unter.

Verwenden Sie für Benutzer, die über Deeplinks von der SageMaker Benutzeroberfläche aus eine Verbindung herstellen, die folgende Berechtigung und fügen Sie sie Ihrer SageMaker AI-Space-Ausführungsrolle oder Domain-Ausführungsrolle hinzu. Wenn die Bereichsausführungsrolle nicht konfiguriert ist, wird standardmäßig die Domainausführungsrolle verwendet.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

Methode 2: AWS Toolkit-Berechtigungen

Fügen Sie für Benutzer, die eine Verbindung über die AWS Toolkit for Visual Studio Code Erweiterung herstellen, die folgende Richtlinie einer der folgenden Richtlinien bei:

  • Fügen Sie für die IAM-Authentifizierung diese Richtlinie dem IAM-Benutzer oder der IAM-Rolle an.

  • Fügen Sie für die IdC-Authentifizierung diese Richtlinie den vom IdC verwalteten Berechtigungssätzen hinzu.

Um nur Leerzeichen anzuzeigen, die für den authentifizierten Benutzer relevant sind, sieheÜberblick über die Filterung.

Wichtig

Die folgende Richtlinie, die * als Ressourcenbeschränkung verwendet, wird nur für schnelle Testzwecke empfohlen. In Produktionsumgebungen sollten Sie diese Berechtigungen auf einen bestimmten Bereich beschränken, ARNs um das Prinzip der geringsten Rechte durchzusetzen. Beispiele Erweiterte Zugriffssteuerung für detailliertere Berechtigungsrichtlinien mit Ressourcen- ARNs, Tags- und netzwerkbasierten Einschränkungen finden Sie unter.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:ListApps",
                "sagemaker:DescribeApp",
                "sagemaker:DescribeDomain",
                "sagemaker:UpdateSpace",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowStartSessionOnSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}

Methode 3: SSH-Terminalberechtigungen

Bei SSH-Terminalverbindungen wird die StartSession API mit dem unten stehenden SSH-Proxy-Befehlsskript unter Verwendung der lokalen Anmeldeinformationen aufgerufen. AWS Informationen und Anweisungen AWS CLI zum Einrichten der lokalen AWS Anmeldeinformationen des Benutzers finden Sie unter Konfiguration der. So nutzen Sie diese Berechtigungen:

  1. Fügen Sie diese Richtlinie dem IAM-Benutzer oder der Rolle zu, die den lokalen AWS -Anmeldeinformationen zugeordnet ist.

  2. Wenn Sie ein benanntes Anmeldeinformationsprofil verwenden, ändern Sie den Proxy-Befehl in Ihrer SSH-Konfiguration:

    ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
    Anmerkung

    Die Richtlinie muss an die IAM-Identität (Benutzer/Rolle) angehängt werden, die in Ihrer Konfiguration der lokalen AWS Anmeldeinformationen verwendet wurde, nicht an die Amazon SageMaker AI-Domänenausführungsrolle.

    JSON
    {
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "AllowStartSessionOnSpecificSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}

Nach der Einrichtung können Benutzer ssh my_studio_space_abc ausführen, um den Bereich zu starten. Weitere Informationen finden Sie unter Methode 3: Herstellen einer Verbindung vom Terminal über SSH-CLI.

Schritt 2: Aktivieren des Remotezugriffs für Ihren Bereich

Nachdem Sie die Berechtigungen eingerichtet haben, müssen Sie den Remotezugriff aktivieren und Ihren Bereich in Studio starten, bevor der Benutzer mit seinem lokalen VS-Code eine Verbindung herstellen kann. Diese Einrichtung muss nur einmal durchgeführt werden.

Anmerkung

Wenn Ihre Benutzer eine Verbindung herstellenMethode 2: AWS Toolkit-Berechtigungen, ist dieser Schritt nicht unbedingt erforderlich. AWS Toolkit for Visual Studio Benutzer können den Fernzugriff über das Toolkit aktivieren.

Aktivieren des Remotezugriffs für Ihren Studio-Bereich

  1. Starten Sie Amazon SageMaker Studio.

  2. Öffnen Sie die Studio-Benutzeroberfläche.

  3. Navigieren Sie zu Ihrem Bereich.

  4. Wechseln Sie in den Bereichsdetails zur Option Remotezugriff.

  5. Wählen Sie Bereich ausführen aus.