Mengatur akses jarak jauh - Amazon SageMaker AI
Langkah 1: Mengkonfigurasi keamanan dan izinLangkah 2: Aktifkan akses jarak jauh untuk ruang Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengatur akses jarak jauh

Sebelum pengguna dapat menghubungkan Kode Visual Studio lokal mereka ke ruang Studio, administrator harus mengonfigurasi izin. Bagian ini memberikan instruksi untuk administrator tentang cara mengatur domain Amazon SageMaker AI mereka dengan akses jarak jauh.

Metode koneksi yang berbeda memerlukan izin IAM yang berbeda. Konfigurasikan izin yang sesuai berdasarkan bagaimana pengguna Anda akan terhubung. Gunakan alur kerja berikut bersama dengan izin yang selaras dengan metode koneksi.

  1. Pilih salah satu izin metode koneksi berikut yang selaras dengan pengguna Anda Metode koneksi

  2. Buat kebijakan IAM khusus berdasarkan izin metode koneksi

Topik

Langkah 1: Mengkonfigurasi keamanan dan izin

Untuk pengguna yang terhubung melalui deep link dari SageMaker UI, gunakan izin berikut dan lampirkan ke peran eksekusi ruang SageMaker AI atau peran eksekusi domain Anda. Jika peran eksekusi ruang tidak dikonfigurasi, peran eksekusi domain digunakan secara default.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

Metode 2: Izin AWS Toolkit

Untuk pengguna yang terhubung melalui AWS Toolkit for Visual Studio Code ekstensi, lampirkan kebijakan berikut ke salah satu dari berikut ini:

  • Untuk autentikasi IAM, lampirkan kebijakan ini ke pengguna atau peran IAM

  • Untuk autentikasi IDC, lampirkan kebijakan ini ke set Izin yang dikelola oleh idC

penting

Kebijakan berikut menggunakan * sebagai kendala sumber daya hanya disarankan untuk tujuan pengujian cepat. Untuk lingkungan produksi, Anda harus memasukkan izin ini ke ruang tertentu ARNs untuk menegakkan prinsip hak istimewa paling sedikit. Lihat Kontrol akses tingkat lanjut contoh kebijakan izin yang lebih terperinci menggunakan sumber daya ARNs, tag, dan batasan berbasis jaringan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:ListApps",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:DescribeApp",
                "sagemaker:StartSession",
                "sagemaker:DescribeDomain",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        }
    ]
}

Metode 3: Izin terminal SSH

Untuk koneksi terminal SSH, StartSession API dipanggil oleh skrip perintah proxy SSH di bawah ini, menggunakan kredensyal lokal AWS . Lihat Mengonfigurasi informasi dan instruksi AWS CLI untuk menyiapkan AWS kredensyal lokal pengguna. gunakan izin ini

  1. Kemudian, lampirkan kebijakan ini ke pengguna atau peran IAM yang terkait dengan AWS kredenal lokal.

  2. Jika menggunakan profil kredensyal bernama, ubah perintah proxy di konfigurasi SSH Anda:

    ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
    catatan

    Kebijakan harus dilampirkan ke identitas IAM (pengguna/peran) yang digunakan dalam konfigurasi AWS kredensyal lokal Anda, bukan ke peran eksekusi domain Amazon SageMaker AI.

    penting

    Kebijakan berikut menggunakan * sebagai kendala sumber daya hanya disarankan untuk tujuan pengujian cepat. Untuk lingkungan produksi, Anda harus memasukkan izin ini ke ruang tertentu ARNs untuk menegakkan prinsip hak istimewa paling sedikit. Lihat Kontrol akses tingkat lanjut contoh kebijakan izin yang lebih terperinci menggunakan sumber daya ARNs, tag, dan batasan berbasis jaringan.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": "*"
        }
    ]
}

Setelah pengaturan, pengguna dapat menjalankan ssh my_studio_space_abc untuk memulai ruang. Untuk informasi selengkapnya, lihat Metode 3: Connect dari terminal melalui SSH CLI.

Langkah 2: Aktifkan akses jarak jauh untuk ruang Anda

Setelah mengatur izin, Anda harus mengaktifkan Remote Access dan memulai ruang Anda di Studio sebelum pengguna dapat terhubung menggunakan Kode VS lokal mereka. Pengaturan ini hanya perlu dilakukan sekali.

catatan

Jika pengguna Anda terhubung menggunakanMetode 2: Izin AWS Toolkit, Anda tidak perlu langkah ini. AWS Toolkit for Visual Studio pengguna dapat mengaktifkan akses jarak jauh dari Toolkit.

Aktifkan akses jarak jauh untuk ruang Studio Anda

  1. Luncurkan Amazon SageMaker Studio.

  2. Buka UI Studio.

  3. Navigasikan ke ruang Anda.

  4. Di detail spasi, aktifkan Remote Access.

  5. Pilih Jalankan ruang.