Configuración del acceso remoto - Amazon SageMaker AI
Paso 1: configuración de la seguridad y los permisosPaso 2: activación del acceso remoto en su espacio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del acceso remoto

Antes de que los usuarios puedan conectar su Visual Studio Code local a los espacios de Studio, el administrador debe configurar los permisos. En esta sección, se proporcionan instrucciones a los administradores sobre cómo configurar su dominio de Amazon SageMaker AI con acceso remoto.

Los distintos métodos de conexión requieren distintos permisos de IAM. Configure los permisos adecuados en función de cómo se conectarán los usuarios. Utilice el siguiente flujo de trabajo junto con los permisos correspondientes al método de conexión.

importante

Actualmente, las conexiones IDE remotas se autentican con credenciales de IAM, no con de IAM Identity Center. Esto afecta a los dominios que utilizan el método de autenticación de IAM Identity Center para que los usuarios accedan al dominio. Si prefiere no utilizar la autenticación de IAM para las conexiones remotas, puede desactivar esta característica con la clave condicional RemoteAccess de sus políticas de IAM. Para obtener más información, consulte Aplicación del acceso remoto. Al utilizar las credenciales de IAM, la conexión IDE local (Visual Studio Code) puede mantener las sesiones activas incluso después de cerrar sesión en el IAM Identity Center. A veces, estas conexiones con el IDE local (Visual Studio Code) pueden persistir hasta 12 horas. Para garantizar la seguridad de su entorno, los administradores deben revisar la configuración de duración de la sesión siempre que sea posible y tener cuidado al utilizar estaciones de trabajo compartidas o redes públicas.

  1. Elija uno de los siguientes permisos de método de conexión que se ajuste a los Métodos de conexión de sus usuarios.

  2. Cree una política de IAM personalizada basada en el permiso del método de conexión.

Temas

Paso 1: configuración de la seguridad y los permisos

importante

El uso de permisos ampliossagemaker:StartSession, especialmente con un recurso comodín, * crea el riesgo de que cualquier usuario con este permiso pueda iniciar una sesión en cualquier aplicación de SageMaker Space de la cuenta. Esto puede provocar que los científicos de datos accedan involuntariamente a los espacios de otros usuarios SageMaker . En el caso de los entornos de producción, debes limitar estos permisos a un espacio específico ARNs para hacer cumplir el principio del privilegio mínimo. Control de acceso avanzadoConsulte algunos ejemplos de políticas de permisos más detalladas que utilizan restricciones de recursos ARNs, etiquetas y redes.

Para los usuarios que se conecten a través de enlaces directos desde la SageMaker interfaz de usuario, utilice el siguiente permiso y adjúntelo a su función de ejecución de SageMaker AI Space o de ejecución de dominio. Si el rol de ejecución del espacio no está configurado, se utiliza el rol de ejecución del dominio de forma predeterminada.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

Método 2: permisos del AWS kit de herramientas

Para los usuarios que se conectan a través de la AWS Toolkit for Visual Studio Code extensión, adjunte la siguiente política a una de las siguientes opciones:

  • Para la autenticación de IAM, asocie esta política al rol o usuario de IAM.

  • Para la autenticación de IdC, asocie esta política a los conjuntos de permisos administrados por el IdC.

Para mostrar solo los espacios relevantes para el usuario autenticado, consulteInformación general sobre el filtrado.

importante

La siguiente política, que utiliza * como restricción de recursos, solo se recomienda para realizar pruebas rápidas. En el caso de los entornos de producción, debe limitar estos permisos a un espacio específico ARNs para aplicar el principio del privilegio mínimo. Control de acceso avanzadoConsulte algunos ejemplos de políticas de permisos más detalladas que utilizan restricciones de recursos ARNs, etiquetas y redes.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:ListApps",
                "sagemaker:DescribeApp",
                "sagemaker:DescribeDomain",
                "sagemaker:UpdateSpace",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowStartSessionOnSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}

Método 3: permisos de terminal SSH

En el caso de las conexiones de terminales SSH, se StartSession invoca a la API mediante el siguiente script de comandos del proxy SSH, con las credenciales locales. AWS Consulte Configurar la AWS CLI para obtener información e instrucciones sobre cómo configurar las credenciales locales AWS del usuario. Para utilizar estos permisos:

  1. Asocie esta política al rol o usuario de IAM asociado a las credenciales de AWS locales.

  2. Si utiliza un perfil de credenciales con nombre, modifique el comando proxy en su configuración de SSH:

    ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
    nota

    La política debe adjuntarse a la identidad de IAM (usuario/rol) utilizada en la configuración de AWS credenciales locales, no a la función de ejecución del dominio de Amazon SageMaker AI.

    JSON
    {
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "AllowStartSessionOnSpecificSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}

Tras la configuración, los usuarios pueden ejecutar ssh my_studio_space_abc para iniciar el espacio. Para obtener más información, consulte Método 3: conectarse desde el terminal a través de la CLI de SSH.

Paso 2: activación del acceso remoto en su espacio

Tras configurar los permisos, debe activar Acceso remoto e iniciar su espacio en Studio para que el usuario pueda conectarse mediante su Visual Studio Code local. Solo tiene que configurarlo una vez.

nota

Si sus usuarios se conectan mediante este pasoMétodo 2: permisos del AWS kit de herramientas, no es necesario que realice este paso. AWS Toolkit for Visual Studio los usuarios pueden habilitar el acceso remoto desde el kit de herramientas.

Activación del acceso remoto en su espacio de Studio

  1. Abre Amazon SageMaker Studio.

  2. Abra la interfaz de usuario de Studio.

  3. Vaya a su espacio.

  4. En los detalles del espacio, active Acceso remoto.

  5. Seleccione Ejecutar espacio.