Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Einrichten des Remotezugriffs
Bevor Benutzer ihre Remote-IDE mit Studio Spaces verbinden können, muss der Administrator Berechtigungen konfigurieren. Dieser Abschnitt enthält Anweisungen für Administratoren zur Einrichtung ihrer Amazon SageMaker AI-Domain mit Fernzugriff.
Verschiedene Verbindungsmethoden erfordern unterschiedliche IAM-Berechtigungen. Konfigurieren Sie die entsprechenden Berechtigungen – je nachdem, wie Ihre Benutzer eine Verbindung herstellen werden. Verwenden Sie den folgenden Workflow zusammen mit den Berechtigungen, die auf die Verbindungsmethode abgestimmt sind.
**Wichtig**
Derzeit werden IDE-Remoteverbindungen mit IAM-Anmeldeinformationen authentifiziert, nicht mit IAM Identity Center. Dies gilt für Domains, die die [Authentifizierungsmethode](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-custom.html#onboard-custom-authentication-details) IAM Identity Center verwenden, damit Ihre Benutzer auf die Domain zugreifen. Wenn Sie die IAM-Authentifizierung für Remoteverbindungen lieber nicht verwenden, können Sie sich abmelden, indem Sie diese Funktion mithilfe des bedingten `RemoteAccess`-Schlüssels in Ihren IAM-Richtlinien deaktivieren. Weitere Informationen finden Sie unter [Durchsetzung des Remotezugriffs](remote-access-remote-setup-abac.md#remote-access-remote-setup-abac-remote-access-enforcement). Wenn Sie IAM-Anmeldeinformationen verwenden, können Remote-IDE-Verbindungen aktive Sitzungen aufrechterhalten, auch wenn Sie sich von Ihrer IAM Identity Center-Sitzung abmelden. Manchmal können diese Remote-IDE-Verbindungen bis zu 12 Stunden bestehen bleiben. Um die Sicherheit Ihrer Umgebung zu gewährleisten, müssen Administratoren nach Möglichkeit die Einstellungen für die Sitzungsdauer überprüfen und vorsichtig sein, wenn Sie gemeinsam genutzte Arbeitsstationen oder öffentliche Netzwerke verwenden.
1. Wählen Sie eine der folgenden Berechtigungen für Verbindungsmethoden aus, die auf die [Verbindungsmethoden](remote-access.md#remote-access-connection-methods) Ihrer Benutzer abgestimmt sind.
1. [Erstellen Sie eine benutzerdefinierte IAM-Richtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) auf der Grundlage der Verbindungsmethodenberechtigung.
**Topics**
+ [Schritt 1: Konfigurieren von Sicherheit und Berechtigungen](#remote-access-remote-setup-permissions)
+ [Schritt 2: Aktivieren des Remotezugriffs für Ihren Bereich](#remote-access-remote-setup-enable)
+ [Erweiterte Zugriffssteuerung](remote-access-remote-setup-abac.md)
+ [Einrichten von Studio für die Ausführung mit Subnetzen ohne Internetzugang innerhalb einer VPC](remote-access-remote-setup-vpc-subnets-without-internet-access.md)
+ [Richten Sie die automatische Speicherplatzfilterung in Studio ein, wenn Sie das AWS Toolkit verwenden](remote-access-remote-setup-filter.md)
## Schritt 1: Konfigurieren von Sicherheit und Berechtigungen
**Topics**
+ [Methode 1: Deep-Link-Berechtigungen](#remote-access-remote-setup-method-1-deep-link-permissions)
+ [Methode 2: AWS Toolkit-Berechtigungen](#remote-access-remote-setup-method-2-aws-toolkit-permissions)
+ [Methode 3: SSH-Terminalberechtigungen](#remote-access-remote-setup-method-3-ssh-terminal-permissions)
**Wichtig**
Die Verwendung umfassender Berechtigungen für`sagemaker:StartSession`, insbesondere bei einer Wildcard-Ressource, `*` birgt das Risiko, dass jeder Benutzer mit dieser Berechtigung eine Sitzung mit einer beliebigen SageMaker Space-App im Konto initiieren kann. Dies kann dazu führen, dass Datenwissenschaftler ungewollt auf die Spaces anderer Nutzer SageMaker zugreifen. In Produktionsumgebungen sollten Sie diese Berechtigungen auf bestimmte Bereiche beschränken, ARNs um das Prinzip der geringsten Rechte durchzusetzen. Beispiele [Erweiterte Zugriffssteuerung](remote-access-remote-setup-abac.md) für detailliertere Berechtigungsrichtlinien unter Verwendung von Ressourcen- ARNs, Tags- und netzwerkbasierten Einschränkungen finden Sie unter.
### Methode 1: Deep-Link-Berechtigungen
Verwenden Sie für Benutzer, die über Deeplinks von der SageMaker Benutzeroberfläche aus eine Verbindung herstellen, die folgende Berechtigung und fügen Sie sie Ihrer SageMaker [AI-Space-Ausführungsrolle](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-space) oder [Domain-Ausführungsrolle](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) hinzu. Wenn die Bereichsausführungsrolle nicht konfiguriert ist, wird standardmäßig die Domainausführungsrolle verwendet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictStartSessionOnSpacesToUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:StartSession"
],
"Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"ArnLike": {
"sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
}
}
}
]
}
```
------
### Methode 2: AWS Toolkit-Berechtigungen
Fügen Sie für Benutzer, die eine Verbindung über die AWS Toolkit for Visual Studio Code Erweiterung herstellen, die folgende Richtlinie einer der folgenden Richtlinien bei:
+ Fügen Sie für die IAM-Authentifizierung diese Richtlinie dem IAM-Benutzer oder der IAM-Rolle an.
+ Fügen Sie für die IdC-Authentifizierung diese Richtlinie den vom IdC verwalteten [Berechtigungssätzen](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) hinzu.
Informationen dazu, wie nur Leerzeichen angezeigt werden, die für den authentifizierten Benutzer relevant sind, finden Sie unter[Überblick über die Filterung](remote-access-remote-setup-filter.md#remote-access-remote-setup-filter-overview).
**Wichtig**
Die folgende Richtlinie, die `*` als Ressourcenbeschränkung verwendet, wird nur für schnelle Testzwecke empfohlen. In Produktionsumgebungen sollten Sie diese Berechtigungen auf einen bestimmten Bereich beschränken, ARNs um das Prinzip der geringsten Rechte durchzusetzen. Beispiele [Erweiterte Zugriffssteuerung](remote-access-remote-setup-abac.md) für detailliertere Berechtigungsrichtlinien unter Verwendung von Ressourcen- ARNs, Tags- und netzwerkbasierten Einschränkungen finden Sie unter.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:ListSpaces",
"sagemaker:DescribeSpace",
"sagemaker:ListApps",
"sagemaker:DescribeApp",
"sagemaker:DescribeDomain",
"sagemaker:UpdateSpace",
"sagemaker:CreateApp",
"sagemaker:DeleteApp",
"sagemaker:AddTags"
],
"Resource": "*"
},
{
"Sid": "AllowStartSessionOnSpaces",
"Effect": "Allow",
"Action": "sagemaker:StartSession",
"Resource": [
"arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
"arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
]
}
]
}
```
------
### Methode 3: SSH-Terminalberechtigungen
Bei SSH-Terminalverbindungen wird die `StartSession` API mit dem unten stehenden SSH-Proxy-Befehlsskript unter Verwendung der lokalen Anmeldeinformationen aufgerufen. AWS Informationen und Anweisungen [AWS CLI zum Einrichten der](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html) lokalen AWS Anmeldeinformationen des Benutzers finden Sie unter Konfiguration der. So nutzen Sie diese Berechtigungen:
1. Fügen Sie diese Richtlinie dem IAM-Benutzer oder der Rolle zu, die den lokalen AWS -Anmeldeinformationen zugeordnet ist.
1. Wenn Sie ein benanntes Anmeldeinformationsprofil verwenden, ändern Sie den Proxy-Befehl in Ihrer SSH-Konfiguration:
```
ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
```
**Anmerkung**
Die Richtlinie muss an die IAM-Identität (Benutzer/Rolle) angehängt werden, die in Ihrer Konfiguration der lokalen AWS Anmeldeinformationen verwendet wurde, nicht an die Amazon SageMaker AI-Domänenausführungsrolle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowStartSessionOnSpecificSpaces",
"Effect": "Allow",
"Action": "sagemaker:StartSession",
"Resource": [
"arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
"arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
]
}
]
}
```
------
Nach der Einrichtung können Benutzer `ssh my_studio_space_abc` ausführen, um den Bereich zu starten. Weitere Informationen finden Sie unter [Methode 3: Herstellen einer Verbindung vom Terminal über SSH-CLI](remote-access-local-ide-setup.md#remote-access-local-ide-setup-local-vs-code-method-3-connect-from-the-terminal-via-ssh-cli).
## Schritt 2: Aktivieren des Remotezugriffs für Ihren Bereich
Nachdem Sie die Berechtigungen eingerichtet haben, müssen Sie **Remote Access** aktivieren und Ihren Bereich in Studio starten, bevor der Benutzer mit seiner Remote-IDE eine Verbindung herstellen kann. Diese Einrichtung muss nur einmal durchgeführt werden.
**Anmerkung**
Wenn Ihre Benutzer eine Verbindung herstellen[Methode 2: AWS Toolkit-Berechtigungen](#remote-access-remote-setup-method-2-aws-toolkit-permissions), ist dieser Schritt nicht unbedingt erforderlich. AWS Toolkit for Visual Studio Benutzer können den Fernzugriff über das Toolkit aktivieren.
**Aktivieren des Remotezugriffs für Ihren Studio-Bereich**
1. [Starten Sie Amazon SageMaker Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-updated-launch.html#studio-updated-launch-console).
1. Öffnen Sie die Studio-Benutzeroberfläche.
1. Navigieren Sie zu Ihrem Bereich.
1. Wechseln Sie in den Bereichsdetails zur Option **Remotezugriff**.
1. Wählen Sie **Bereich ausführen** aus.