Configura el acceso remoto - Amazon SageMaker AI
Paso 1: Configurar la seguridad y los permisosPaso 2: habilita el acceso remoto a tu espacio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configura el acceso remoto

Antes de que los usuarios puedan conectar su código local de Visual Studio a los espacios de Studio, el administrador debe configurar los permisos. En esta sección, se proporcionan instrucciones a los administradores sobre cómo configurar su dominio de Amazon SageMaker AI con acceso remoto.

Los distintos métodos de conexión requieren distintos permisos de IAM. Configure los permisos adecuados en función de cómo se conectarán los usuarios. Utilice el siguiente flujo de trabajo junto con los permisos correspondientes al método de conexión.

  1. Elija uno de los siguientes métodos de conexión: permisos que se ajusten a los de sus usuarios Métodos de conexión

  2. Cree una política de IAM personalizada basada en el permiso del método de conexión

Temas

Paso 1: Configurar la seguridad y los permisos

Para los usuarios que se conecten a través de enlaces directos desde la SageMaker interfaz de usuario, utilice el siguiente permiso y adjúntelo a su función de ejecución de SageMaker AI Space o de ejecución de dominio. Si la función de ejecución del espacio no está configurada, se utiliza la función de ejecución del dominio de forma predeterminada.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

Método 2: permisos del AWS kit de herramientas

Para los usuarios que se conectan a través de la AWS Toolkit for Visual Studio Code extensión, adjunte la siguiente política a una de las siguientes opciones:

  • Para la autenticación de IAM, asocie esta política al usuario o rol de IAM

  • Para la autenticación de iDC, adjunte esta política a los conjuntos de permisos gestionados por el iDC

importante

La siguiente política, que * se utiliza como restricción de recursos, solo se recomienda para realizar pruebas rápidas. En el caso de los entornos de producción, debe limitar estos permisos a un espacio específico ARNs para aplicar el principio del privilegio mínimo. Consulte algunos ejemplos Control de acceso avanzado de políticas de permisos más detalladas que utilizan restricciones basadas en recursos ARNs, etiquetas y redes.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:ListApps",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:DescribeApp",
                "sagemaker:StartSession",
                "sagemaker:DescribeDomain",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        }
    ]
}

Método 3: permisos de terminal SSH

En el caso de las conexiones de terminales SSH, se StartSession invoca a la API mediante el siguiente script de comandos del proxy SSH, utilizando las credenciales locales. AWS Consulte Configurar la AWS CLI para obtener información e instrucciones sobre cómo configurar las credenciales locales AWS de los usuarios. Para usar estos permisos:

  1. Adjunte esta política al usuario o rol de IAM asociado a las AWS credenciales locales.

  2. Si utilizas un perfil de credenciales con nombre, modifica el comando proxy en tu configuración de SSH:

    ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
    nota

    La política debe adjuntarse a la identidad de IAM (usuario/rol) utilizada en la configuración de AWS credenciales locales, no a la función de ejecución del dominio de Amazon SageMaker AI.

    importante

    La siguiente política, que * se utiliza como restricción de recursos, solo se recomienda para realizar pruebas rápidas. En el caso de los entornos de producción, debe limitar estos permisos a un espacio específico ARNs para aplicar el principio del privilegio mínimo. Consulte algunos ejemplos Control de acceso avanzado de políticas de permisos más detalladas que utilizan restricciones basadas en recursos ARNs, etiquetas y redes.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": "*"
        }
    ]
}

Tras la configuración, los usuarios pueden correr ssh my_studio_space_abc para iniciar el espacio. Para obtener más información, consulte Método 3: Conectarse desde el terminal a través de SSH CLI.

Paso 2: habilita el acceso remoto a tu espacio

Tras configurar los permisos, debes activar el acceso remoto e iniciar tu espacio en Studio para que el usuario pueda conectarse mediante su VS Code local. Esta configuración solo debe realizarse una vez.

nota

Si sus usuarios se conectan medianteMétodo 2: permisos del AWS kit de herramientas, no es necesario que realice este paso. AWS Toolkit for Visual Studio los usuarios pueden habilitar el acceso remoto desde el kit de herramientas.

Activa el acceso remoto a tu espacio de estudio

  1. Abre Amazon SageMaker Studio.

  2. Abre la interfaz de usuario de Studio.

  3. Vaya a su espacio.

  4. En los detalles del espacio, activa el acceso remoto.

  5. Seleccione Ejecutar espacio.