Configura el acceso remoto - Amazon SageMaker AI
Configure la seguridad y los permisos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configura el acceso remoto

Antes de que los usuarios puedan conectar su código local de Visual Studio a los espacios de Studio, el administrador debe configurar los permisos. En esta sección, se proporcionan instrucciones a los administradores sobre cómo configurar su dominio de Amazon SageMaker AI con acceso remoto.

Los distintos métodos de conexión requieren distintos permisos de IAM. Configure los permisos adecuados en función de cómo se conectarán los usuarios. Utilice el siguiente flujo de trabajo junto con los permisos correspondientes al método de conexión.

  1. Elija uno de los siguientes métodos de conexión: permisos que se ajusten a los de sus usuarios Métodos de conexión

  2. Cree una política de IAM personalizada basada en el permiso del método de conexión

Configure la seguridad y los permisos

Para los usuarios que se conecten a través de enlaces directos desde la interfaz de usuario de SageMaker IA, utilice el siguiente permiso y adjúntelo a su función de ejecución de SageMaker AI space o de ejecución de dominio. Si la función de ejecución del espacio no está configurada, se utiliza la función de ejecución del dominio de forma predeterminada.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

Método 2: permisos del AWS kit de herramientas

Para los usuarios que se conectan a través de la AWS Toolkit for Visual Studio Code extensión, adjunte la siguiente política a una de las siguientes opciones:

  • Para la autenticación de IAM, asocie esta política al usuario o rol de IAM.

  • Para la autenticación del iDC, adjunte esta política a los conjuntos de permisos gestionados por el iDC.

importante

La siguiente política, que * se utiliza como restricción de recursos, solo se recomienda para realizar pruebas rápidas. En el caso de los entornos de producción, debe limitar estos permisos a un espacio específico ARNs para aplicar el principio del privilegio mínimo. Consulte algunos ejemplos Control de acceso avanzado de políticas de permisos más detalladas que utilizan restricciones basadas en recursos ARNs, etiquetas y redes.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:ListApps",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:DescribeApp",
                "sagemaker:StartSession",
                "sagemaker:DescribeDomain",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        }
    ]
}

Método 3: permisos de terminal SSH

En el caso de las conexiones de terminales SSH, se StartSession invoca a la API mediante el siguiente script de comandos del proxy SSH, utilizando las credenciales locales. AWS Consulte Configurar la AWS CLI para obtener información e instrucciones sobre cómo configurar las credenciales locales AWS de los usuarios. Para usar estos permisos:

  1. Adjunte esta política al usuario o rol de IAM asociado a las AWS credenciales locales.

  2. Si utilizas un perfil de credenciales con nombre, modifica el comando proxy en tu configuración de SSH:

ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
nota

La política debe adjuntarse a la identidad de IAM (usuario/rol) utilizada en la configuración de AWS credenciales locales, no a la función de ejecución del dominio de Amazon SageMaker AI.

importante

La siguiente política, que * se utiliza como restricción de recursos, solo se recomienda para realizar pruebas rápidas. En el caso de los entornos de producción, debe limitar estos permisos a un espacio específico ARNs para aplicar el principio del privilegio mínimo. Consulte algunos ejemplos Control de acceso avanzado de políticas de permisos más detalladas que utilizan restricciones basadas en recursos ARNs, etiquetas y redes.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": "*"
        }
    ]
}

Tras la configuración, los usuarios pueden correr ssh my_studio_space_abc para iniciar el espacio. Para obtener más información, consulte Método 3: Conectarse desde el terminal a través de SSH CLI.

Temas