Siapkan akses jarak jauh - Amazon SageMaker AI
Langkah 1: Konfigurasikan keamanan dan izinLangkah 2: Aktifkan akses jarak jauh untuk ruang Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Siapkan akses jarak jauh

Sebelum pengguna dapat menghubungkan Kode Visual Studio lokal mereka ke ruang Studio, administrator harus mengonfigurasi izin. Bagian ini memberikan instruksi untuk administrator tentang cara mengatur domain Amazon SageMaker AI mereka dengan akses jarak jauh.

Metode koneksi yang berbeda memerlukan izin IAM yang berbeda. Konfigurasikan izin yang sesuai berdasarkan bagaimana pengguna Anda akan terhubung. Gunakan alur kerja berikut bersama dengan izin yang selaras dengan metode koneksi.

penting

Saat ini koneksi IDE jarak jauh diautentikasi menggunakan kredensyal IAM, bukan Pusat Identitas IAM. Ini berlaku untuk domain yang menggunakan metode autentikasi Pusat Identitas IAM bagi pengguna Anda untuk mengakses domain. Jika Anda memilih untuk tidak menggunakan autentikasi IAM untuk koneksi jarak jauh, Anda dapat memilih keluar dengan menonaktifkan fitur ini menggunakan kunci RemoteAccess bersyarat dalam kebijakan IAM Anda. Untuk informasi selengkapnya, lihat Penegakan akses jarak jauh. Saat menggunakan kredensyal IAM, koneksi IDE Lokal (Visual Studio Code) dapat mempertahankan sesi aktif bahkan setelah Anda keluar dari sesi Pusat Identitas IAM Anda. Terkadang, koneksi IDE Lokal (Visual Studio Code) ini dapat bertahan hingga 12 jam. Untuk memastikan keamanan lingkungan Anda, administrator harus meninjau pengaturan durasi sesi jika memungkinkan dan berhati-hati saat menggunakan workstation bersama atau jaringan publik.

  1. Pilih salah satu izin metode koneksi berikut yang selaras dengan pengguna Anda. Metode koneksi

  2. Buat kebijakan IAM kustom berdasarkan izin metode koneksi.

Topik

Langkah 1: Konfigurasikan keamanan dan izin

penting

Menggunakan izin luas untuksagemaker:StartSession, terutama dengan sumber daya wildcard * menimbulkan risiko bahwa setiap pengguna dengan izin ini dapat memulai sesi terhadap aplikasi SageMaker Space apa pun di akun. Hal ini dapat menyebabkan dampak ilmuwan data yang secara tidak sengaja mengakses Spaces pengguna lain. SageMaker Untuk lingkungan produksi, Anda harus memasukkan izin ini ke ruang tertentu ARNs untuk menegakkan prinsip hak istimewa paling sedikit. Lihat Kontrol akses tingkat lanjut contoh kebijakan izin yang lebih terperinci menggunakan sumber daya ARNs, tag, dan batasan berbasis jaringan.

Untuk pengguna yang terhubung melalui deep link dari SageMaker UI, gunakan izin berikut dan lampirkan ke peran eksekusi ruang SageMaker AI atau peran eksekusi domain Anda. Jika peran eksekusi ruang tidak dikonfigurasi, peran eksekusi domain digunakan secara default.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

Metode 2: Izin AWS Toolkit

Untuk pengguna yang terhubung melalui AWS Toolkit for Visual Studio Code ekstensi, lampirkan kebijakan berikut ke salah satu dari berikut ini:

  • Untuk autentikasi IAM, lampirkan kebijakan ini ke pengguna atau peran IAM

  • Untuk autentikasi IDC, lampirkan kebijakan ini ke set Izin yang dikelola oleh idC

Untuk hanya menampilkan spasi yang relevan dengan pengguna yang diautentikasi, lihatIkhtisar penyaringan.

penting

Kebijakan berikut menggunakan * sebagai kendala sumber daya hanya disarankan untuk tujuan pengujian cepat. Untuk lingkungan produksi, Anda harus memasukkan izin ini ke ruang tertentu ARNs untuk menegakkan prinsip hak istimewa paling sedikit. Lihat Kontrol akses tingkat lanjut contoh kebijakan izin yang lebih terperinci menggunakan sumber daya ARNs, tag, dan batasan berbasis jaringan.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:ListApps",
                "sagemaker:DescribeApp",
                "sagemaker:DescribeDomain",
                "sagemaker:UpdateSpace",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowStartSessionOnSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}

Metode 3: Izin terminal SSH

Untuk koneksi terminal SSH, StartSession API dipanggil oleh skrip perintah proxy SSH di bawah ini, menggunakan kredensyal lokal AWS . Lihat Mengonfigurasi informasi dan instruksi AWS CLI untuk menyiapkan AWS kredensyal lokal pengguna. Untuk menggunakan izin ini:

  1. Lampirkan kebijakan ini ke pengguna IAM atau peran yang terkait dengan AWS kredenal lokal.

  2. Jika menggunakan profil kredensyal bernama, ubah perintah proxy di konfigurasi SSH Anda:

    ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
    catatan

    Kebijakan harus dilampirkan ke identitas IAM (pengguna/peran) yang digunakan dalam konfigurasi AWS kredensyal lokal Anda, bukan ke peran eksekusi domain Amazon SageMaker AI.

    JSON
    {
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "AllowStartSessionOnSpecificSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}

Setelah pengaturan, pengguna dapat menjalankan ssh my_studio_space_abc untuk memulai ruang. Untuk informasi selengkapnya, lihat Metode 3: Connect dari terminal melalui SSH CLI.

Langkah 2: Aktifkan akses jarak jauh untuk ruang Anda

Setelah mengatur izin, Anda harus mengaktifkan Remote Access dan memulai ruang Anda di Studio sebelum pengguna dapat terhubung menggunakan Kode VS lokal mereka. Pengaturan ini hanya perlu dilakukan sekali.

catatan

Jika pengguna Anda terhubung menggunakanMetode 2: Izin AWS Toolkit, Anda tidak perlu langkah ini. AWS Toolkit for Visual Studio pengguna dapat mengaktifkan akses jarak jauh dari Toolkit.

Aktifkan akses jarak jauh untuk ruang Studio Anda

  1. Luncurkan Amazon SageMaker Studio.

  2. Buka UI Studio.

  3. Arahkan ke ruang Anda.

  4. Di detail spasi, aktifkan Remote Access.

  5. Pilih Jalankan ruang.