원격 액세스 설정 - Amazon SageMaker AI
1단계: 보안 및 권한 구성2단계: 스페이스에 대한 원격 액세스 활성화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

원격 액세스 설정

사용자가 로컬 Visual Studio Code를 Studio 스페이스에 연결하려면 먼저 관리자가 권한을 구성해야 합니다. 이 섹션에서는 관리자가 원격 액세스로 Amazon SageMaker AI 도메인을 설정하는 방법에 대한 지침을 제공합니다.

다른 연결 방법에는 다른 IAM 권한이 필요합니다. 사용자의 연결 방식에 따라 적절한 권한을 구성합니다. 연결 방법에 맞는 권한과 함께 다음 워크플로를 사용합니다.

중요

현재 원격 IDE 연결은 IAM Identity Center가 아닌 IAM 자격 증명을 사용하여 인증됩니다. 이는 사용자가 도메인에 액세스하는 데 IAM Identity Center 인증 방법을 사용하는 도메인에 적용됩니다. 원격 연결에 IAM 인증을 사용하지 않으려면 IAM 정책의 RemoteAccess 조건부 키를 사용해 이 기능을 비활성화하여 옵트아웃할 수 있습니다. 자세한 내용은 원격 액세스 적용 단원을 참조하십시오. IAM 자격 증명을 사용하는 경우 IAM Identity Center 세션에서 로그아웃한 후에도 로컬 IDE(Visual Studio Code) 연결이 활성 세션을 유지할 수 있습니다. 경우에 따라 이러한 로컬 IDE(Visual Studio Code) 연결은 최대 12시간 동안 지속될 수 있습니다. 환경의 보안을 보장하기 위해 관리자는 가능한 경우 세션 기간 설정을 검토하고 공유 워크스테이션 또는 퍼블릭 네트워크를 사용할 때 주의해야 합니다.

  1. 사용자의 연결 메서드에 맞는 다음 연결 방법 권한 중 하나를 선택합니다.

  2. 연결 방법 권한을 기반으로 사용자 지정 IAM 정책을 생성합니다.

주제

1단계: 보안 및 권한 구성

중요

sagemaker:StartSession특히 와일드카드 리소스에서에 대한 광범위한 권한을 사용하면이 권한이 있는 모든 사용자가 계정의 모든 SageMaker Space 앱에 대해 세션을 시작할 수 있는 위험이 * 발생합니다. 이로 인해 데이터 과학자가 의도하지 않게 다른 사용자의 SageMaker Spaces에 액세스할 수 있습니다. 프로덕션 환경의 경우 최소 권한 원칙을 적용하려면 특정 스페이스 ARN으로 이러한 권한의 범위를 좁혀야 합니다. 리소스 ARN, 태그 및 네트워크 기반 제약 조건을 사용하는 더 세분화된 권한 정책의 예는 고급 액세스 제어 섹션을 참조하세요.

SageMaker UI의 딥 링크를 통해 연결하는 사용자의 경우 다음 권한을 사용하여 SageMaker AI 스페이스 실행 역할 또는 도메인 실행 역할에 연결합니다. 스페이스 실행 역할이 구성되지 않은 경우 도메인 실행 역할이 기본적으로 사용됩니다.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

방법 2: AWS도구 키트 권한

AWS Toolkit for Visual Studio Code확장을 통해 연결하는 사용자의 경우 다음 정책 중 하나에 연결합니다.

  • IAM 인증의 경우 이 정책을 IAM 사용자 또는 역할에 연결합니다.

  • IdC 인증의 경우 이 정책을 IdC에서 관리하는 권한 세트에 연결합니다.

인증된 사용자와 관련된 공백만 표시하려면 섹션을 참조하세요필터링 개요.

중요

*를 리소스 제약으로 사용하는 다음 정책은 빠른 테스트 목적으로만 권장됩니다. 프로덕션 환경의 경우 최소 권한 원칙을 적용하려면 특정 스페이스 ARN으로 이러한 권한의 범위를 좁혀야 합니다. 리소스 ARN, 태그 및 네트워크 기반 제약 조건을 사용하는 더 세분화된 권한 정책의 예는 고급 액세스 제어 섹션을 참조하세요.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:ListApps",
                "sagemaker:DescribeApp",
                "sagemaker:DescribeDomain",
                "sagemaker:UpdateSpace",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowStartSessionOnSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}

방법 3: SSH 터미널 권한

SSH 터미널 연결의 경우 로컬 AWS자격 증명을 사용하여 아래 SSH 프록시 명령 스크립트에서 StartSession API를 호출합니다. 사용자의 로컬 AWS자격 증명 설정에 대한 자세한 내용과 지침은 구성을 AWS CLI 참조하세요. 이 권한을 사용하려면 다음을 수행하세요.

  1. 로컬 AWS 자격 증명과 연결된 IAM 사용자 또는 역할에 이 정책을 연결합니다.

  2. 명명된 자격 증명 프로필을 사용하는 경우 SSH 구성에서 프록시 명령을 수정합니다.

    ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
    참고

    정책은 Amazon SageMaker AI 도메인 실행 역할이 아닌 로컬 AWS자격 증명 구성에 사용되는 IAM 자격 증명(사용자/역할)에 연결되어야 합니다.

    JSON
    {
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "AllowStartSessionOnSpecificSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}

설정 후 사용자는 ssh my_studio_space_abc를 실행하여 스페이스를 시작할 수 있습니다. 자세한 내용은 방법 3: SSH CLI를 통해 터미널에서 연결 단원을 참조하십시오.

2단계: 스페이스에 대한 원격 액세스 활성화

권한을 설정한 후 먼저 원격 액세스를 켜고 Studio에서 스페이스를 시작해야 사용자가 로컬 VS Code를 사용하여 연결할 수 있습니다. 이 설정은 한 번만 수행하면 됩니다.

참고

사용자가를 사용하여 연결하는 경우이 단계가 반드시 필요한 방법 2: AWS도구 키트 권한것은 아닙니다. AWS Toolkit for Visual Studio사용자는 도구 키트에서 원격 액세스를 활성화할 수 있습니다.

Studio 스페이스에 대한 원격 액세스 활성화

  1. Amazon SageMaker Studio를 실행합니다.

  2. Studio UI를 엽니다.

  3. 스페이스로 이동합니다.

  4. 스페이스 세부 정보에서 원격 액세스를 켭니다.

  5. 스페이스 실행을 선택합니다.