翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# リモートアクセスを設定する
<a name="remote-access-remote-setup"></a>

ユーザーがリモート IDE を Studio スペースに接続する前に、管理者はアクセス許可を設定する必要があります。このセクションでは、リモートアクセスを使用して、Amazon SageMaker AI ドメインをセットアップする方法について説明します。

接続方法によって、必要な IAM アクセス許可はさまざまです。ユーザーの接続方法に基づいて、適切なアクセス許可を設定します。接続方法に沿ったアクセス許可を使って、次のワークフローを使用します。

**重要**  
現時点では、リモート IDE 接続の認証は、IAM アイデンティティセンターではなく、IAM 認証情報を使用しています。これは、ユーザーがドメインにアクセスするために IAM アイデンティティセンターの[認証方法](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-custom.html#onboard-custom-authentication-details)を使用するドメインに適用されます。リモート接続に IAM 認証を使用しない場合は、IAM ポリシーの `RemoteAccess` 条件キーを使用してこの機能を無効にすることでオプトアウトできます。詳細については、「[リモートアクセスの適用](remote-access-remote-setup-abac.md#remote-access-remote-setup-abac-remote-access-enforcement)」を参照してください。IAM 認証情報を使用する場合、リモート IDE 接続は、IAM Identity Center セッションからログアウトした後でもアクティブなセッションを維持することがあります。これらのリモート IDE 接続は、最大 12 時間保持される場合があります。環境のセキュリティを確保するために、管理者は可能な限りセッション期間の設定を確認し、共有ワークステーションまたはパブリックネットワークを使用するときは注意する必要があります。

1. ユーザーの [接続方法](remote-access.md#remote-access-connection-methods) と一致する次のいずれかの接続方法のアクセス許可を選択します。

1. 接続方法のアクセス許可に基づいて、[カスタム IAM ポリシーを作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)します。

**Topics**
+ [ステップ 1: セキュリティおよびのアクセス許可を設定する](#remote-access-remote-setup-permissions)
+ [ステップ 2: スペースのリモートアクセスを有効にする](#remote-access-remote-setup-enable)
+ [高度なアクセスコントロール](remote-access-remote-setup-abac.md)
+ [VPC 内のインターネットへのアクセスがないサブネットで実行するように Studio を設定する](remote-access-remote-setup-vpc-subnets-without-internet-access.md)
+ [Toolkit の使用時に Studio の自動スペースフィルタリングを設定する AWS](remote-access-remote-setup-filter.md)

## ステップ 1: セキュリティおよびのアクセス許可を設定する
<a name="remote-access-remote-setup-permissions"></a>

**Topics**
+ [方法 1: ディープリンクのアクセス許可](#remote-access-remote-setup-method-1-deep-link-permissions)
+ [方法 2: AWS Toolkit アクセス許可](#remote-access-remote-setup-method-2-aws-toolkit-permissions)
+ [方法 3: SSH ターミナルのアクセス許可](#remote-access-remote-setup-method-3-ssh-terminal-permissions)

**重要**  
に広範なアクセス許可、特にワイルドカードリソースを使用すると`sagemaker:StartSession`、このアクセス許可を持つユーザーがアカウント内の任意の SageMaker Space アプリに対してセッションを開始できるリスク`*`が生じます。これにより、データサイエンティストが他のユーザーの SageMaker Spaces に意図せずにアクセスしてしまう可能性があります。本番環境では、最小権限の原則を適用し、これらのアクセス許可の範囲を特定のスペース ARN に絞り込む必要があります。リソース ARN、タグ、ネットワークベースの制約を使用したより詳細なアクセス許可ポリシーの例については、「[高度なアクセスコントロール](remote-access-remote-setup-abac.md)」を参照してください。

### 方法 1: ディープリンクのアクセス許可
<a name="remote-access-remote-setup-method-1-deep-link-permissions"></a>

ユーザーが SageMaker UI からのディープリンクを介して接続する場合は、次のアクセス許可を使用して、SageMaker AI [スペースの実行ロール](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-space)または[ドメイン実行ロール](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role)にアタッチします。スペースの実行ロールが設定されていない場合、ドメイン実行ロールがデフォルトで使用されます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}
```

------

### 方法 2: AWS Toolkit アクセス許可
<a name="remote-access-remote-setup-method-2-aws-toolkit-permissions"></a>

 AWS Toolkit for Visual Studio Code 拡張機能を介して接続するユーザーの場合、次のいずれかに次のポリシーをアタッチします。
+ IAM 認証の場合は、このポリシーを IAM ユーザーまたはロールにアタッチします。
+ IdC 認証の場合、このポリシーを IdC が管理する[アクセス許可セット](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)にアタッチします。

認証されたユーザーに関連するスペースのみを表示するには、「」を参照してください[フィルタリングの概要](remote-access-remote-setup-filter.md#remote-access-remote-setup-filter-overview)。

**重要**  
リソース制約として `*` を使用する以下のポリシーは、クイックテスト目的でのみ推奨されます。本番環境では、最小権限の原則を適用し、これらのアクセス許可の範囲を特定のスペース ARN に絞り込む必要があります。リソース ARN、タグ、ネットワークベースの制約を使用したより詳細なアクセス許可ポリシーの例については、「[高度なアクセスコントロール](remote-access-remote-setup-abac.md)」を参照してください。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:ListApps",
                "sagemaker:DescribeApp",
                "sagemaker:DescribeDomain",
                "sagemaker:UpdateSpace",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowStartSessionOnSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}
```

------

### 方法 3: SSH ターミナルのアクセス許可
<a name="remote-access-remote-setup-method-3-ssh-terminal-permissions"></a>

SSH ターミナル接続の場合、`StartSession`API はローカル AWS 認証情報を使用して、以下の SSH プロキシコマンドスクリプトによって呼び出されます。ユーザーのローカル AWS 認証情報の設定に関する情報と手順については、[「 の設定 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)」を参照してください。これらのアクセス許可を使用するには:

1. このポリシーをローカル AWS 認証情報に関連付けられた IAM ユーザーまたはロールにアタッチします。

1. 名前付き認証情報プロファイルを使用する場合は、次のとおり SSH 設定でプロキシコマンドを変更します。

   ```
   ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
   ```
**注記**  
ポリシーは、Amazon SageMaker AI ドメイン実行ロールではなく、ローカル AWS 認証情報設定で使用される IAM ID (ユーザー/ロール) にアタッチする必要があります。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "AllowStartSessionOnSpecificSpaces",
               "Effect": "Allow",
               "Action": "sagemaker:StartSession",
               "Resource": [
                   "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                   "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
               ]
           }
       ]
   }
   ```

------

セットアップ後、ユーザーは `ssh my_studio_space_abc` を実行してスペースを起動できます。詳細については、「[方法 3: SSH CLI 経由でターミナルから接続する](remote-access-local-ide-setup.md#remote-access-local-ide-setup-local-vs-code-method-3-connect-from-the-terminal-via-ssh-cli)」を参照してください。

## ステップ 2: スペースのリモートアクセスを有効にする
<a name="remote-access-remote-setup-enable"></a>

アクセス許可を設定したら、**ユーザーがリモート IDE を使用して接続する前に、リモートアクセス**をオンにして Studio でスペースを起動する必要があります。この設定を行う必要があるのは 1 回のみです。

**注記**  
ユーザーが を使用して接続している場合は[方法 2: AWS Toolkit アクセス許可](#remote-access-remote-setup-method-2-aws-toolkit-permissions)、必ずしもこのステップは必要ありません。 AWS Toolkit for Visual Studio ユーザーは Toolkit からのリモートアクセスを有効にできます。

**Studio スペースのリモートアクセスをアクティベートする**

1. [Amazon SageMaker Studio を起動](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-updated-launch.html#studio-updated-launch-console)します。

1. Studio UI を開きます。

1. 自分のスペースに移動します。

1. スペース詳細で、**リモートアクセス**をオンに切り替えます。

1. **[実行スペース]** を選択します。