Configuration de l'accès à distance - Amazon SageMaker AI
Configuration de la sécurité et des autorisations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l'accès à distance

Avant que les utilisateurs puissent connecter leur code Visual Studio local aux espaces Studio, l'administrateur doit configurer les autorisations. Cette section fournit des instructions aux administrateurs sur la façon de configurer leur domaine Amazon SageMaker AI avec un accès à distance.

Les différentes méthodes de connexion nécessitent des autorisations IAM différentes. Configurez les autorisations appropriées en fonction de la manière dont vos utilisateurs se connecteront. Utilisez le flux de travail suivant avec les autorisations correspondant à la méthode de connexion.

  1. Choisissez l'une des autorisations de méthode de connexion suivantes qui correspond à celle de vos utilisateurs Méthodes de connexion

  2. Créez une politique IAM personnalisée en fonction de l'autorisation de la méthode de connexion

Configuration de la sécurité et des autorisations

Pour les utilisateurs qui se connectent via des liens profonds depuis l'interface utilisateur SageMaker AI, utilisez l'autorisation suivante et associez-la à votre rôle d'exécution d'espace SageMaker AI ou à votre rôle d'exécution de domaine. Si le rôle d'exécution de l'espace n'est pas configuré, le rôle d'exécution du domaine est utilisé par défaut.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

Méthode 2 : autorisations du AWS kit d'outils

Pour les utilisateurs qui se connectent via l' AWS Toolkit for Visual Studio Code extension, associez la politique suivante à l'une des règles suivantes :

  • Pour l'authentification IAM, associez cette politique à l'utilisateur ou au rôle IAM.

  • Pour l'authentification iDC, associez cette politique aux ensembles d'autorisations gérés par l'iDC.

Important

L'utilisation de la politique suivante * comme contrainte de ressource n'est recommandée qu'à des fins de test rapide. Pour les environnements de production, vous devez limiter ces autorisations à un espace spécifique ARNs afin de faire appliquer le principe du moindre privilège. Consultez Contrôle d'accès avancé des exemples de politiques d'autorisation plus détaillées utilisant des ressources ARNs, des balises et des contraintes basées sur le réseau.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:ListApps",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:DescribeApp",
                "sagemaker:StartSession",
                "sagemaker:DescribeDomain",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        }
    ]
}

Méthode 3 : autorisations du terminal SSH

Pour les connexions au terminal SSH, l' StartSession API est appelée par le script de commande proxy SSH ci-dessous, en utilisant les informations d'identification locales AWS . Consultez Configurer le AWS CLI pour obtenir des informations et des instructions sur la configuration des AWS informations d'identification locales des utilisateurs. Pour utiliser ces autorisations, procédez comme suit :

  1. Associez cette politique à l'utilisateur ou au rôle IAM associé aux AWS informations d'identification locales.

  2. Si vous utilisez un profil d'identification nommé, modifiez la commande proxy dans votre configuration SSH :

ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
Note

La politique doit être attachée à l'identité IAM (utilisateur/rôle) utilisée dans la configuration de vos AWS informations d'identification locales, et non au rôle d'exécution du domaine Amazon SageMaker AI.

Important

L'utilisation de la politique suivante * comme contrainte de ressource n'est recommandée qu'à des fins de test rapide. Pour les environnements de production, vous devez limiter ces autorisations à un espace spécifique ARNs afin de faire appliquer le principe du moindre privilège. Consultez Contrôle d'accès avancé des exemples de politiques d'autorisation plus détaillées utilisant des ressources ARNs, des balises et des contraintes basées sur le réseau.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": "*"
        }
    ]
}

Après la configuration, les utilisateurs peuvent courir ssh my_studio_space_abc pour démarrer l'espace. Pour de plus amples informations, veuillez consulter Méthode 3 : Connexion depuis le terminal via la CLI SSH.

Rubriques