Configura l'accesso remoto - Amazon SageMaker AI
Configura sicurezza e autorizzazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura l'accesso remoto

Prima che gli utenti possano connettere il codice locale di Visual Studio agli spazi di Studio, l'amministratore deve configurare le autorizzazioni. Questa sezione fornisce istruzioni per gli amministratori su come configurare il proprio dominio Amazon SageMaker AI con accesso remoto.

Metodi di connessione diversi richiedono autorizzazioni IAM diverse. Configura le autorizzazioni appropriate in base al modo in cui gli utenti si connetteranno. Utilizza il seguente flusso di lavoro insieme alle autorizzazioni allineate al metodo di connessione.

  1. Scegli una delle seguenti autorizzazioni per il metodo di connessione in linea con quelle dei tuoi utenti Metodi di connessione

  2. Crea una policy IAM personalizzata basata sull'autorizzazione del metodo di connessione

Configura sicurezza e autorizzazioni

Per gli utenti che si connettono tramite deep link dall'interfaccia utente SageMaker AI, utilizza la seguente autorizzazione e collegala al ruolo di esecuzione dello spazio SageMaker AI o al ruolo di esecuzione del dominio. Se il ruolo di esecuzione dello spazio non è configurato, per impostazione predefinita viene utilizzato il ruolo di esecuzione del dominio.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

Metodo 2: autorizzazioni AWS Toolkit

Per gli utenti che si connettono tramite l' AWS Toolkit for Visual Studio Code estensione, allega la seguente politica a una delle seguenti:

  • Per l'autenticazione IAM, collega questa policy all'utente o al ruolo IAM.

  • Per l'autenticazione iDC, allega questa policy ai set di autorizzazioni gestiti dall'iDC.

Importante

L'utilizzo della seguente politica * come vincolo di risorse è consigliato solo per scopi di test rapidi. Per gli ambienti di produzione, è necessario limitare queste autorizzazioni a uno spazio specifico per ARNs applicare il principio del privilegio minimo. Vedi esempi Controllo avanzato degli accessi di politiche di autorizzazione più granulari che utilizzano risorse ARNs, tag e vincoli basati sulla rete.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:ListApps",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:DescribeApp",
                "sagemaker:StartSession",
                "sagemaker:DescribeDomain",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        }
    ]
}

Metodo 3: autorizzazioni del terminale SSH

Per le connessioni terminali SSH, l' StartSession API viene richiamata dallo script di comando proxy SSH riportato di seguito, utilizzando le credenziali locali. AWS AWS CLI Per informazioni e istruzioni sulla configurazione delle credenziali locali degli utenti, consulta Configure the. AWS Per utilizzare queste autorizzazioni:

  1. Allega questa policy all'utente o al ruolo IAM associato alle AWS credenziali locali.

  2. Se utilizzi un profilo di credenziali denominato, modifica il comando proxy nella configurazione SSH:

ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
Nota

La policy deve essere collegata all'identità IAM (utente/ruolo) utilizzata nella configurazione delle AWS credenziali locali, non al ruolo di esecuzione del dominio Amazon SageMaker AI.

Importante

L'utilizzo della seguente politica * come vincolo di risorse è consigliato solo per scopi di test rapidi. Per gli ambienti di produzione, è necessario limitare queste autorizzazioni a uno spazio specifico per ARNs applicare il principio del privilegio minimo. Vedi esempi Controllo avanzato degli accessi di politiche di autorizzazione più granulari che utilizzano risorse ARNs, tag e vincoli basati sulla rete.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": "*"
        }
    ]
}

Dopo la configurazione, gli utenti possono eseguire l'operazione ssh my_studio_space_abc per avviare lo spazio. Per ulteriori informazioni, consulta Metodo 3: Connect dal terminale tramite SSH CLI.

Argomenti