Configuration de l’accès à distance - Amazon SageMaker AI
Étape 1 : Configuration de la sécurité et des autorisationsÉtape 2 : Activation de l’accès à distance de votre espace

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l’accès à distance

Pour que les utilisateurs puissent connecter leur environnement Visual Studio Code local aux espaces Studio, l’administrateur doit configurer des autorisations. Cette section fournit des instructions aux administrateurs sur la façon de configurer leur domaine Amazon SageMaker AI avec un accès à distance.

Les différentes méthodes de connexion nécessitent des autorisations IAM différentes. Configurez les autorisations appropriées en fonction de la manière dont vos utilisateurs se connecteront. Utilisez le flux de travail suivant avec les autorisations correspondant à la méthode de connexion.

Important

Actuellement, les connexions IDE distantes sont authentifiées à l’aide des informations d’identification IAM, et non d’IAM Identity Center. Cela s’applique aux domaines qui utilisent la méthode d’authentification IAM Identity Center pour que vos utilisateurs puissent y accéder. Si vous préférez ne pas utiliser l’authentification IAM pour les connexions à distance, vous pouvez vous désinscrire en désactivant cette fonctionnalité à l’aide de la clé conditionnelle RemoteAccess dans vos politiques IAM. Pour de plus amples informations, veuillez consulter Application de l’accès à distance. Lorsque vous utilisez les informations d'identification IAM, la connexion IDE locale (Visual Studio Code) peut maintenir des sessions actives même après votre déconnexion de votre session IAM Identity Center. Parfois, ces connexions IDE locales (Visual Studio Code) peuvent persister jusqu'à 12 heures. Pour garantir la sécurité de votre environnement, les administrateurs doivent revoir les paramètres de durée de session dans la mesure du possible et faire preuve de prudence lorsqu'ils utilisent des postes de travail partagés ou des réseaux publics.

  1. Choisissez l’une des autorisations de méthode de connexion suivantes correspondant aux Méthodes de connexion de vos utilisateurs.

  2. Créez une politique IAM personnalisée en fonction de l’autorisation de la méthode de connexion.

Rubriques

Étape 1 : Configuration de la sécurité et des autorisations

Important

L'utilisation d'autorisations étendues poursagemaker:StartSession, en particulier pour une ressource générique, * crée le risque que tout utilisateur disposant de cette autorisation puisse lancer une session sur n'importe quelle application SageMaker Space du compte. Cela peut avoir pour effet que des data scientists accèdent involontairement aux SageMaker espaces d'autres utilisateurs. Pour les environnements de production, vous devez limiter ces autorisations à un espace spécifique ARNs afin de faire appliquer le principe du moindre privilège. Consultez Contrôle d’accès avancé des exemples de politiques d'autorisation plus détaillées utilisant des ressources ARNs, des balises et des contraintes basées sur le réseau.

Pour les utilisateurs qui se connectent via des liens profonds depuis l' SageMaker interface utilisateur, utilisez l'autorisation suivante et associez-la à votre rôle d'exécution d'espace SageMaker AI ou à votre rôle d'exécution de domaine. Si le rôle d’exécution d’espace n’est pas configuré, le rôle d’exécution de domaine est utilisé par défaut.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

Méthode 2 : autorisations du AWS kit d'outils

Pour les utilisateurs qui se connectent via l' AWS Toolkit for Visual Studio Code extension, associez la politique suivante à l'une des règles suivantes :

  • Pour l’authentification IAM, attachez cette politique à l’utilisateur ou au rôle IAM.

  • Pour l’authentification IdC, attachez cette politique aux jeux d’autorisations gérés par l’IdC.

Pour afficher uniquement les espaces pertinents pour l'utilisateur authentifié, consultezVue d’ensemble du filtrage.

Important

La politique suivante, qui utilise * comme contrainte de ressource, n’est recommandée qu’à des fins de test rapide. Pour les environnements de production, vous devez limiter ces autorisations à un espace spécifique ARNs afin de faire appliquer le principe du moindre privilège. Consultez Contrôle d’accès avancé des exemples de politiques d'autorisation plus détaillées utilisant des ressources ARNs, des balises et des contraintes basées sur le réseau.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:ListApps",
                "sagemaker:DescribeApp",
                "sagemaker:DescribeDomain",
                "sagemaker:UpdateSpace",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowStartSessionOnSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}

Méthode 3 : autorisations du terminal SSH

Pour les connexions au terminal SSH, l'StartSessionAPI est appelée par le script de commande proxy SSH ci-dessous, en utilisant les informations d'identification locales AWS . Consultez Configurer le AWS CLI pour obtenir des informations et des instructions sur la configuration des informations d' AWS identification locales de l'utilisateur. Pour utiliser ces autorisations :

  1. Attachez cette politique à l’utilisateur ou au rôle IAM associé aux informations d’identification AWS locales.

  2. Si vous utilisez un profil d’informations d’identification nommé, modifiez la commande proxy dans votre configuration SSH :

    ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
    Note

    La politique doit être attachée à l'identité IAM (utilisateur/rôle) utilisée dans la configuration de vos AWS informations d'identification locales, et non au rôle d'exécution du domaine Amazon SageMaker AI.

    JSON
    {
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "AllowStartSessionOnSpecificSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}

Après la configuration, les utilisateurs peuvent exécuter ssh my_studio_space_abc pour démarrer l’espace. Pour de plus amples informations, veuillez consulter Méthode 3 : Connexion depuis le terminal via la CLI SSH.

Étape 2 : Activation de l’accès à distance de votre espace

Après avoir configuré les autorisations, vous devez activer Accès à distance et créer votre espace dans Studio avant que l’utilisateur puisse se connecter à l’aide de son code VS local. Cette configuration ne doit être effectuée qu’une seule fois.

Note

Si vos utilisateurs se connectent en utilisantMéthode 2 : autorisations du AWS kit d'outils, vous n'avez pas nécessairement besoin de cette étape. AWS Toolkit for Visual Studio les utilisateurs peuvent activer l'accès à distance depuis le Toolkit.

Activation de l’accès à distance à votre espace Studio

  1. Lancez Amazon SageMaker Studio.

  2. Ouvrez l’interface utilisateur de Studio.

  3. Accédez à votre espace.

  4. Dans les détails de l’espace, activez Accès à distance.

  5. Choisissez Exécuter Space.