リモートアクセスを設定する - Amazon SageMaker AI
セキュリティとアクセス許可を設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

リモートアクセスを設定する

ユーザーがローカル Visual Studio コードを Studio スペースに接続できるようにするには、管理者がアクセス許可を設定する必要があります。このセクションでは、リモートアクセスを使用して Amazon SageMaker AI ドメインをセットアップする方法について説明します。

異なる接続方法には、異なる IAM アクセス許可が必要です。ユーザーの接続方法に基づいて、適切なアクセス許可を設定します。接続方法に沿ったアクセス許可とともに、次のワークフローを使用します。

  1. ユーザーの と一致する次のいずれかの接続方法のアクセス許可を選択します。 接続方法

  2. 接続方法のアクセス許可に基づいてカスタム IAM ポリシーを作成する

セキュリティとアクセス許可を設定する

SageMaker AI UI からのディープリンクを介して接続するユーザーの場合は、次のアクセス許可を使用して、SageMaker AI スペース実行ロールまたはドメイン実行ロールにアタッチします。スペース実行ロールが設定されていない場合、ドメイン実行ロールはデフォルトで使用されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

方法 2: AWS Toolkit アクセス許可

AWS Toolkit for Visual Studio Code 拡張機能を介して接続するユーザーの場合、次のいずれかに次のポリシーをアタッチします。

  • IAM 認証の場合は、このポリシーを IAM ユーザーまたはロールにアタッチします。

  • IdC 認証の場合は、IdC によって管理されるアクセス許可セットにこのポリシーをアタッチします。

重要

リソース制約*として を使用する以下のポリシーは、クイックテストの目的でのみ推奨されます。本番環境では、これらのアクセス許可を特定のスペース ARNs に絞り込んで、最小特権の原則を適用する必要があります。リソース ARN、タグ、ネットワークベースの制約を使用したより詳細なアクセス許可ポリシーの例高度なアクセスコントロールについては、「」を参照してください。 ARNs

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:ListApps",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:DescribeApp",
                "sagemaker:StartSession",
                "sagemaker:DescribeDomain",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        }
    ]
}

方法 3: SSH ターミナルのアクセス許可

SSH ターミナル接続の場合、StartSession API はローカル AWS 認証情報を使用して、以下の SSH プロキシコマンドスクリプトによって呼び出されます。ユーザーのローカル AWS 認証情報の設定に関する情報と手順については、「 の設定 AWS CLI」を参照してください。これらのアクセス許可を使用するには:

  1. このポリシーをローカル AWS 認証情報に関連付けられた IAM ユーザーまたはロールにアタッチします。

  2. 名前付き認証情報プロファイルを使用する場合は、SSH 設定でプロキシコマンドを変更します。

ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
注記

ポリシーは、Amazon SageMaker AI ドメイン実行ロールではなく、ローカル AWS 認証情報設定で使用される IAM ID (ユーザー/ロール) にアタッチする必要があります。

重要

リソース制約*として を使用する以下のポリシーは、クイックテストの目的でのみ推奨されます。本番環境では、これらのアクセス許可を特定のスペース ARNs に絞り込んで、最小特権の原則を適用する必要があります。リソース ARN、タグ、ネットワークベースの制約を使用したより詳細なアクセス許可ポリシーの例高度なアクセスコントロールについては、「」を参照してください。 ARNs

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": "*"
        }
    ]
}

セットアップ後、ユーザーは ssh my_studio_space_abc を実行してスペースを起動できます。詳細については、「方法 3: SSH CLI 経由でターミナルから接続する」を参照してください。

トピック