Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Siapkan akses jarak jauh
<a name="remote-access-remote-setup"></a>

Sebelum pengguna dapat menghubungkan Remote IDE mereka ke ruang Studio, administrator harus mengonfigurasi izin. Bagian ini memberikan instruksi untuk administrator tentang cara mengatur domain Amazon SageMaker AI mereka dengan akses jarak jauh.

Metode koneksi yang berbeda memerlukan izin IAM yang berbeda. Konfigurasikan izin yang sesuai berdasarkan bagaimana pengguna Anda akan terhubung. Gunakan alur kerja berikut bersama dengan izin yang selaras dengan metode koneksi.

**penting**  
Saat ini koneksi IDE jarak jauh diautentikasi menggunakan kredensyal IAM, bukan Pusat Identitas IAM. Ini berlaku untuk domain yang menggunakan [metode autentikasi](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-custom.html#onboard-custom-authentication-details) Pusat Identitas IAM bagi pengguna Anda untuk mengakses domain. Jika Anda memilih untuk tidak menggunakan autentikasi IAM untuk koneksi jarak jauh, Anda dapat memilih keluar dengan menonaktifkan fitur ini menggunakan kunci `RemoteAccess` bersyarat dalam kebijakan IAM Anda. Untuk informasi selengkapnya, lihat [Penegakan akses jarak jauh](remote-access-remote-setup-abac.md#remote-access-remote-setup-abac-remote-access-enforcement). Saat menggunakan kredensyal IAM, koneksi IDE Jarak Jauh dapat mempertahankan sesi aktif bahkan setelah Anda keluar dari sesi Pusat Identitas IAM Anda. Terkadang, koneksi Remote IDE ini dapat bertahan hingga 12 jam. Untuk memastikan keamanan lingkungan Anda, administrator harus meninjau pengaturan durasi sesi jika memungkinkan dan berhati-hati saat menggunakan workstation bersama atau jaringan publik.

1. Pilih salah satu izin metode koneksi berikut yang selaras dengan pengguna Anda. [Metode koneksi](remote-access.md#remote-access-connection-methods)

1. [Buat kebijakan IAM kustom](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) berdasarkan izin metode koneksi.

**Topics**
+ [Langkah 1: Konfigurasikan keamanan dan izin](#remote-access-remote-setup-permissions)
+ [Langkah 2: Aktifkan akses jarak jauh untuk ruang Anda](#remote-access-remote-setup-enable)
+ [Kontrol akses tingkat lanjut](remote-access-remote-setup-abac.md)
+ [Siapkan Studio untuk dijalankan dengan subnet tanpa akses internet dalam VPC](remote-access-remote-setup-vpc-subnets-without-internet-access.md)
+ [Siapkan pemfilteran ruang Studio otomatis saat menggunakan Toolkit AWS](remote-access-remote-setup-filter.md)

## Langkah 1: Konfigurasikan keamanan dan izin
<a name="remote-access-remote-setup-permissions"></a>

**Topics**
+ [Metode 1: Izin tautan dalam](#remote-access-remote-setup-method-1-deep-link-permissions)
+ [Metode 2: Izin AWS Toolkit](#remote-access-remote-setup-method-2-aws-toolkit-permissions)
+ [Metode 3: Izin terminal SSH](#remote-access-remote-setup-method-3-ssh-terminal-permissions)

**penting**  
Menggunakan izin luas untuk`sagemaker:StartSession`, terutama dengan sumber daya wildcard `*` menimbulkan risiko bahwa setiap pengguna dengan izin ini dapat memulai sesi terhadap aplikasi SageMaker Space apa pun di akun. Hal ini dapat menyebabkan dampak ilmuwan data yang secara tidak sengaja mengakses Spaces pengguna lain. SageMaker Untuk lingkungan produksi, Anda harus memasukkan izin ini ke ruang tertentu ARNs untuk menegakkan prinsip hak istimewa paling sedikit. Lihat [Kontrol akses tingkat lanjut](remote-access-remote-setup-abac.md) contoh kebijakan izin yang lebih terperinci menggunakan sumber daya ARNs, tag, dan batasan berbasis jaringan.

### Metode 1: Izin tautan dalam
<a name="remote-access-remote-setup-method-1-deep-link-permissions"></a>

Untuk pengguna yang terhubung melalui deep link dari SageMaker UI, gunakan izin berikut dan lampirkan ke [peran eksekusi ruang SageMaker AI atau peran](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-space) [eksekusi domain](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) Anda. Jika peran eksekusi ruang tidak dikonfigurasi, peran eksekusi domain digunakan secara default.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}
```

------

### Metode 2: Izin AWS Toolkit
<a name="remote-access-remote-setup-method-2-aws-toolkit-permissions"></a>

Untuk pengguna yang terhubung melalui AWS Toolkit for Visual Studio Code ekstensi, lampirkan kebijakan berikut ke salah satu dari berikut ini:
+ Untuk autentikasi IAM, lampirkan kebijakan ini ke pengguna atau peran IAM
+ Untuk autentikasi IDC, lampirkan kebijakan ini ke [set Izin](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) yang dikelola oleh idC

Untuk hanya menampilkan spasi yang relevan dengan pengguna yang diautentikasi, lihat[Ikhtisar penyaringan](remote-access-remote-setup-filter.md#remote-access-remote-setup-filter-overview).

**penting**  
Kebijakan berikut menggunakan `*` sebagai kendala sumber daya hanya disarankan untuk tujuan pengujian cepat. Untuk lingkungan produksi, Anda harus memasukkan izin ini ke ruang tertentu ARNs untuk menegakkan prinsip hak istimewa paling sedikit. Lihat [Kontrol akses tingkat lanjut](remote-access-remote-setup-abac.md) contoh kebijakan izin yang lebih terperinci menggunakan sumber daya ARNs, tag, dan batasan berbasis jaringan.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:ListApps",
                "sagemaker:DescribeApp",
                "sagemaker:DescribeDomain",
                "sagemaker:UpdateSpace",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowStartSessionOnSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}
```

------

### Metode 3: Izin terminal SSH
<a name="remote-access-remote-setup-method-3-ssh-terminal-permissions"></a>

Untuk koneksi terminal SSH, `StartSession` API dipanggil oleh skrip perintah proxy SSH di bawah ini, menggunakan kredensyal lokal AWS . Lihat [Mengonfigurasi](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html) informasi dan instruksi AWS CLI untuk menyiapkan AWS kredensyal lokal pengguna. Untuk menggunakan izin ini:

1. Lampirkan kebijakan ini ke pengguna IAM atau peran yang terkait dengan AWS kredenal lokal.

1. Jika menggunakan profil kredensyal bernama, ubah perintah proxy di konfigurasi SSH Anda:

   ```
   ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
   ```
**catatan**  
Kebijakan harus dilampirkan ke identitas IAM (pengguna/peran) yang digunakan dalam konfigurasi AWS kredensyal lokal Anda, bukan ke peran eksekusi domain Amazon SageMaker AI.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "AllowStartSessionOnSpecificSpaces",
               "Effect": "Allow",
               "Action": "sagemaker:StartSession",
               "Resource": [
                   "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                   "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
               ]
           }
       ]
   }
   ```

------

Setelah pengaturan, pengguna dapat menjalankan `ssh my_studio_space_abc` untuk memulai ruang. Untuk informasi selengkapnya, lihat [Metode 3: Connect dari terminal melalui SSH CLI](remote-access-local-ide-setup.md#remote-access-local-ide-setup-local-vs-code-method-3-connect-from-the-terminal-via-ssh-cli).

## Langkah 2: Aktifkan akses jarak jauh untuk ruang Anda
<a name="remote-access-remote-setup-enable"></a>

Setelah mengatur izin, Anda harus mengaktifkan **Remote Access** dan memulai ruang Anda di Studio sebelum pengguna dapat terhubung menggunakan Remote IDE mereka. Pengaturan ini hanya perlu dilakukan sekali.

**catatan**  
Jika pengguna Anda terhubung menggunakan[Metode 2: Izin AWS Toolkit](#remote-access-remote-setup-method-2-aws-toolkit-permissions), Anda tidak perlu langkah ini. AWS Toolkit for Visual Studio pengguna dapat mengaktifkan akses jarak jauh dari Toolkit.

**Aktifkan akses jarak jauh untuk ruang Studio Anda**

1. [Luncurkan Amazon SageMaker Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-updated-launch.html#studio-updated-launch-console).

1. Buka UI Studio.

1. Arahkan ke ruang Anda.

1. Di detail spasi, aktifkan **Remote** Access.

1. Pilih **Jalankan ruang**.