Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Siapkan akses jarak jauh
Sebelum pengguna dapat menghubungkan Kode Visual Studio lokal mereka ke ruang Studio, administrator harus mengonfigurasi izin. Bagian ini memberikan instruksi untuk administrator tentang cara mengatur domain Amazon SageMaker AI mereka dengan akses jarak jauh.
Metode koneksi yang berbeda memerlukan izin IAM yang berbeda. Konfigurasikan izin yang sesuai berdasarkan bagaimana pengguna Anda akan terhubung. Gunakan alur kerja berikut bersama dengan izin yang selaras dengan metode koneksi.
-
Pilih salah satu izin metode koneksi berikut yang selaras dengan pengguna Anda Metode koneksi
-
Buat kebijakan IAM kustom berdasarkan izin metode koneksi
Konfigurasikan keamanan dan izin
Metode 1: Izin tautan dalam
Untuk pengguna yang terhubung melalui deep link dari SageMaker AI UI, gunakan izin berikut dan lampirkan ke peran eksekusi ruang SageMaker AI atau peran eksekusi domain Anda. Jika peran eksekusi ruang tidak dikonfigurasi, peran eksekusi domain digunakan secara default.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictStartSessionOnSpacesToUserProfile", "Effect": "Allow", "Action": [ "sagemaker:StartSession" ], "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "ArnLike": { "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" } } } ] }
Metode 2: Izin AWS Toolkit
Untuk pengguna yang terhubung melalui AWS Toolkit for Visual Studio Code ekstensi, lampirkan kebijakan berikut ke salah satu dari berikut ini:
-
Untuk autentikasi IAM, lampirkan kebijakan ini ke pengguna atau peran IAM.
-
Untuk autentikasi IDC, lampirkan kebijakan ini ke set Izin yang dikelola oleh IDC.
penting
Kebijakan berikut menggunakan * sebagai kendala sumber daya hanya disarankan untuk tujuan pengujian cepat. Untuk lingkungan produksi, Anda harus memasukkan izin ini ke ruang tertentu ARNs untuk menegakkan prinsip hak istimewa paling sedikit. Lihat Kontrol akses tingkat lanjut contoh kebijakan izin yang lebih terperinci menggunakan sumber daya ARNs, tag, dan batasan berbasis jaringan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:ListSpaces", "sagemaker:DescribeSpace", "sagemaker:UpdateSpace", "sagemaker:ListApps", "sagemaker:CreateApp", "sagemaker:DeleteApp", "sagemaker:DescribeApp", "sagemaker:StartSession", "sagemaker:DescribeDomain", "sagemaker:AddTags" ], "Resource": "*" } ] }
Metode 3: Izin terminal SSH
Untuk koneksi terminal SSH, StartSession API dipanggil oleh skrip perintah proxy SSH di bawah ini, menggunakan kredensyal lokal AWS . Lihat Mengonfigurasi informasi dan instruksi AWS CLI untuk menyiapkan AWS kredensyal lokal pengguna. Untuk menggunakan izin ini:
-
Lampirkan kebijakan ini ke pengguna IAM atau peran yang terkait dengan AWS kredensyal lokal.
-
Jika menggunakan profil kredensi bernama, ubah perintah proxy di konfigurasi SSH Anda:
ProxyCommand '/home/user/sagemaker_connect.sh' '%h'YOUR_CREDENTIAL_PROFILE_NAME
catatan
Kebijakan harus dilampirkan ke identitas IAM (pengguna/peran) yang digunakan dalam konfigurasi AWS kredensyal lokal Anda, bukan ke peran eksekusi domain Amazon SageMaker AI.
penting
Kebijakan berikut menggunakan * sebagai kendala sumber daya hanya disarankan untuk tujuan pengujian cepat. Untuk lingkungan produksi, Anda harus memasukkan izin ini ke ruang tertentu ARNs untuk menegakkan prinsip hak istimewa paling sedikit. Lihat Kontrol akses tingkat lanjut contoh kebijakan izin yang lebih terperinci menggunakan sumber daya ARNs, tag, dan batasan berbasis jaringan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "sagemaker:StartSession", "Resource": "*" } ] }
Setelah pengaturan, pengguna dapat menjalankan ssh my_studio_space_abc untuk memulai ruang. Untuk informasi selengkapnya, lihat Metode 3: Connect dari terminal melalui SSH CLI.
Topik
