원격 액세스 설정 - Amazon SageMaker AI
보안 및 권한 구성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

원격 액세스 설정

사용자가 로컬 Visual Studio 코드를 Studio 스페이스에 연결하려면 먼저 관리자가 권한을 구성해야 합니다. 이 섹션에서는 관리자가 원격 액세스로 Amazon SageMaker AI 도메인을 설정하는 방법에 대한 지침을 제공합니다.

서로 다른 연결 방법에는 서로 다른 IAM 권한이 필요합니다. 사용자의 연결 방식에 따라 적절한 권한을 구성합니다. 연결 방법과 일치하는 권한과 함께 다음 워크플로를 사용합니다.

  1. 사용자의에 맞는 다음 연결 방법 권한 중 하나를 선택합니다. 연결 메서드

  2. 연결 방법 권한을 기반으로 사용자 지정 IAM 정책 생성

보안 및 권한 구성

SageMaker AI UI의 딥 링크를 통해 연결하는 사용자의 경우 다음 권한을 사용하여 SageMaker AI 스페이스 실행 역할 또는 도메인 실행 역할에 연결합니다. 스페이스 실행 역할이 구성되지 않은 경우 도메인 실행 역할이 기본적으로 사용됩니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

방법 2: AWS 도구 키트 권한

AWS Toolkit for Visual Studio Code 확장을 통해 연결하는 사용자의 경우 다음 정책을 다음 중 하나에 연결합니다.

  • IAM 인증의 경우이 정책을 IAM 사용자 또는 역할에 연결합니다.

  • IdC 인증의 경우이 정책을 IdC에서 관리하는 권한 세트에 연결합니다.

중요

를 리소스 제약*으로 사용하는 다음 정책은 빠른 테스트 목적으로만 권장됩니다. 프로덕션 환경의 경우 최소 권한 원칙을 적용하려면 이러한 권한을 특정 공간 ARNs으로 범위를 좁혀야 합니다. 리소스 ARNs, 태그 및 네트워크 기반 제약 조건을 사용하는 보다 세분화된 권한 정책의 고급 액세스 제어 예는 섹션을 참조하세요.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:ListApps",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:DescribeApp",
                "sagemaker:StartSession",
                "sagemaker:DescribeDomain",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        }
    ]
}

방법 3: SSH 터미널 권한

SSH 터미널 연결의 경우 StartSession API는 로컬 AWS 자격 증명을 사용하여 아래 SSH 프록시 명령 스크립트에 의해 호출됩니다. 사용자의 로컬 AWS 자격 증명 설정에 대한 자세한 내용과 지침은 구성을 AWS CLI 참조하세요. 이러한 권한을 사용하려면:

  1. 로컬 AWS 자격 증명과 연결된 IAM 사용자 또는 역할에이 정책을 연결합니다.

  2. 명명된 자격 증명 프로파일을 사용하는 경우 SSH 구성에서 프록시 명령을 수정합니다.

ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
참고

정책은 Amazon SageMaker AI 도메인 실행 역할이 아닌 로컬 AWS 자격 증명 구성에 사용되는 IAM 자격 증명(사용자/역할)에 연결되어야 합니다.

중요

를 리소스 제약*으로 사용하는 다음 정책은 빠른 테스트 목적으로만 권장됩니다. 프로덕션 환경의 경우 최소 권한 원칙을 적용하려면 이러한 권한을 특정 공간 ARNs으로 범위를 좁혀야 합니다. 리소스 ARNs, 태그 및 네트워크 기반 제약 조건을 사용하는 보다 세분화된 권한 정책의 고급 액세스 제어 예는 섹션을 참조하세요.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": "*"
        }
    ]
}

설정 후 사용자는를 실행ssh my_studio_space_abc하여 공간을 시작할 수 있습니다. 자세한 내용은 방법 3: SSH CLI를 통해 터미널에서 연결 단원을 참조하십시오.

주제