リモートアクセスを設定する - Amazon SageMaker AI
ステップ 1: セキュリティおよびのアクセス許可を設定するステップ 2: スペースのリモートアクセスを有効にする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

リモートアクセスを設定する

ユーザーがローカル Visual Studio Code を Studio スペースに接続できるようになるには、管理者はアクセス許可を設定する必要があります。このセクションでは、リモートアクセスを使用して、Amazon SageMaker AI ドメインをセットアップする方法について説明します。

接続方法によって、必要な IAM アクセス許可はさまざまです。ユーザーの接続方法に基づいて、適切なアクセス許可を設定します。接続方法に沿ったアクセス許可を使って、次のワークフローを使用します。

重要

現時点では、リモート IDE 接続の認証は、IAM アイデンティティセンターではなく、IAM 認証情報を使用しています。これは、ユーザーがドメインにアクセスするために IAM アイデンティティセンターの認証方法を使用するドメインに適用されます。リモート接続に IAM 認証を使用しない場合は、IAM ポリシーの RemoteAccess 条件キーを使用してこの機能を無効にすることでオプトアウトできます。詳細については、「リモートアクセスの適用」を参照してください。IAM 認証情報を使用する場合、ローカル IDE (Visual Studio Code) 接続は、IAM Identity Center セッションからログアウトした後でもアクティブなセッションを維持することがあります。これらのローカル IDE (Visual Studio Code) 接続は、最大 12 時間保持される場合があります。環境のセキュリティを確保するために、管理者は可能な限りセッション期間設定を確認し、共有ワークステーションまたはパブリックネットワークを使用するときは注意する必要があります。

  1. ユーザーの 接続方法 と一致する次のいずれかの接続方法のアクセス許可を選択します。

  2. 接続方法のアクセス許可に基づいて、カスタム IAM ポリシーを作成します。

トピック

ステップ 1: セキュリティおよびのアクセス許可を設定する

重要

に広範なアクセス許可、特にワイルドカードリソースを使用するとsagemaker:StartSession、このアクセス許可を持つユーザーがアカウント内の任意の SageMaker Space アプリに対してセッションを開始できるリスク*が生じます。これにより、データサイエンティストが他のユーザーの SageMaker Spaces に意図せずにアクセスしてしまう可能性があります。本番環境では、最小権限の原則を適用し、これらのアクセス許可の範囲を特定のスペース ARN に絞り込む必要があります。リソース ARN、タグ、ネットワークベースの制約を使用したより詳細なアクセス許可ポリシーの例については、「高度なアクセスコントロール」を参照してください。

ユーザーが SageMaker UI からのディープリンクを介して接続する場合は、次のアクセス許可を使用して、SageMaker AI スペースの実行ロールまたはドメイン実行ロールにアタッチします。スペースの実行ロールが設定されていない場合、ドメイン実行ロールがデフォルトで使用されます。

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

方法 2: AWS ツールキットのアクセス許可

AWS Toolkit for Visual Studio Code 拡張機能を介して接続するユーザーの場合、次のいずれかに次のポリシーをアタッチします。

  • IAM 認証の場合は、このポリシーを IAM ユーザーまたはロールにアタッチします。

  • IdC 認証の場合、このポリシーを IdC が管理するアクセス許可セットにアタッチします。

認証されたユーザーに関連するスペースのみを表示するには、「」を参照してくださいフィルタリングの概要

重要

リソース制約として * を使用する以下のポリシーは、クイックテスト目的でのみ推奨されます。本番環境では、最小権限の原則を適用し、これらのアクセス許可の範囲を特定のスペース ARN に絞り込む必要があります。リソース ARN、タグ、ネットワークベースの制約を使用したより詳細なアクセス許可ポリシーの例については、「高度なアクセスコントロール」を参照してください。

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:ListApps",
                "sagemaker:DescribeApp",
                "sagemaker:DescribeDomain",
                "sagemaker:UpdateSpace",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowStartSessionOnSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}

方法 3: SSH ターミナルのアクセス許可

SSH ターミナル接続の場合、StartSessionAPI はローカル AWS 認証情報を使用して、以下の SSH プロキシコマンドスクリプトによって呼び出されます。ユーザーのローカル AWS 認証情報の設定に関する情報と手順については、「 の設定 AWS CLI」を参照してください。これらのアクセス許可を使用するには:

  1. このポリシーをローカル AWS 認証情報に関連付けられた IAM ユーザーまたはロールにアタッチします。

  2. 名前付き認証情報プロファイルを使用する場合は、次のとおり SSH 設定でプロキシコマンドを変更します。

    ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
    注記

    ポリシーは、Amazon SageMaker AI ドメイン実行ロールではなく、ローカル AWS 認証情報設定で使用される IAM ID (ユーザー/ロール) にアタッチする必要があります。

    JSON
    {
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "AllowStartSessionOnSpecificSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}

セットアップ後、ユーザーは ssh my_studio_space_abc を実行してスペースを起動できます。詳細については、「方法 3: SSH CLI 経由でターミナルから接続する」を参照してください。

ステップ 2: スペースのリモートアクセスを有効にする

アクセス許可を設定したら、ユーザーがローカル VS Code を使用して接続する前に、リモートアクセスをオンにして、Studio でスペースを起動する必要があります。この設定を行う必要があるのは 1 回のみです。

注記

ユーザーが を使用して接続している場合は方法 2: AWS ツールキットのアクセス許可、必ずしもこのステップは必要ありません。 AWS Toolkit for Visual Studio ユーザーは Toolkit からリモートアクセスを有効にできます。

Studio スペースのリモートアクセスをアクティベートする

  1. Amazon SageMaker Studio を起動します。

  2. Studio UI を開きます。

  3. 自分のスペースに移動します。

  4. スペース詳細で、リモートアクセスをオンに切り替えます。

  5. [実行スペース] を選択します。