As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configurar o Studio para ser executado com sub-redes sem acesso à internet em uma VPC
<a name="remote-access-remote-setup-vpc-subnets-without-internet-access"></a>

Este guia mostra como se conectar aos espaços do Amazon SageMaker Studio a partir do seu IDE remoto quando seu domínio Amazon SageMaker AI é executado em sub-redes privadas sem acesso à Internet. Você aprenderá sobre os requisitos de conectividade e as opções de configuração para estabelecer conexões remotas seguras em ambientes de rede isolados.

Você pode configurar o Amazon SageMaker Studio para ser executado somente no modo VPC com sub-redes sem acesso à Internet. Essa configuração aprimora a segurança de suas workloads de machine learning, pois permite operar em um ambiente de rede isolado em que todo o tráfego flui pela VPC. Para habilitar a comunicação externa e, ao mesmo tempo, manter a segurança, use endpoints de VPC para AWS serviços e configure a PrivateLink VPC para as dependências necessárias. AWS 

**Suporte IDE para conexões de sub-rede privadas**

A tabela a seguir mostra os métodos de conexão suportados para cada IDE remoto ao se conectar aos espaços do Studio em sub-redes privadas sem acesso à Internet.


| Método de conexão | VS Code | Kiro | Cursor | 
| --- | --- | --- | --- | 
| Suporte ao proxy HTTP | Compatível | Compatível | Não compatível | 
| Servidor remoto e extensões pré-empacotados | Compatível | Não compatível | Sem compatibilidade | 

**Importante**  
O cursor não é suportado para conexão com espaços do Studio em sub-redes privadas sem acesso de saída à Internet.

**Topics**
+ [Requisitos de rede de acesso remoto do Studio](#remote-access-remote-setup-vpc-subnets-without-internet-access-network-requirements)
+ [Configurar a rede de acesso remoto do Studio](#remote-access-remote-setup-vpc-subnets-without-internet-access-setup)

## Requisitos de rede de acesso remoto do Studio
<a name="remote-access-remote-setup-vpc-subnets-without-internet-access-network-requirements"></a>

**Limitações do modo VPC**: no modo VPC, o Studio permite apenas sub-redes privadas. Ele não funciona com sub-redes diretamente conectadas a um gateway da internet (IGW). As conexões IDE remotas compartilham as mesmas limitações da SageMaker IA. Para ter mais informações, consulte [Conectar os cadernos do Studio em uma VPC para recursos externos](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-and-internet-access.html).

### Requisitos de VPC PrivateLink
<a name="remote-access-remote-setup-vpc-subnets-without-internet-access-vpc-privatelink-requirements"></a>

Quando a SageMaker IA é executada em sub-redes privadas, configure esses endpoints VPC SSM, além dos endpoints VPC padrão necessários. SageMaker Para ter mais informações, consulte [Conectar o Studio por meio de um endpoint da VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-interface-endpoint.html).
+ `com.amazonaws.{{REGION}}.ssm`
+ `com.amazonaws.{{REGION}}.ssmmessages`

**Recomendações de políticas de endpoints de VPC**

A seguir estão as políticas de endpoint de VPC recomendadas que permitem as ações necessárias para acesso remoto enquanto usam a `aws:PrincipalIsAWSService` condição para garantir que somente serviços AWS como o Amazon SageMaker AI possam fazer as chamadas. Para obter mais informações sobre a chave de `aws:PrincipalIsAWSService` condição, consulte [a documentação](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalisawsservice).

**Política de endpoint de SSM**

Use a seguinte política para o `com.amazonaws.{{REGION}}.ssm` endpoint:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "ssm:CreateActivation",
                "ssm:RegisterManagedInstance",
                "ssm:DeleteActivation",
                "ssm:DeregisterManagedInstance",
                "ssm:AddTagsToResource",
                "ssm:UpdateInstanceInformation",
                "ssm:UpdateInstanceAssociationStatus",
                "ssm:DescribeInstanceInformation",
                "ssm:ListInstanceAssociations",
                "ssm:ListAssociations",
                "ssm:GetDocument",
                "ssm:PutInventory"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:PrincipalIsAWSService": "true"
                }
            }
        }
    ]
}
```

**Política de endpoint de mensagens SSM**

Use a seguinte política para o `com.amazonaws.{{REGION}}.ssmmessages` endpoint:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:PrincipalIsAWSService": "true"
                }
            }
        }
    ]
}
```

**Requisitos de rede específicos do VS Code**

A conexão remota do VS Code requer o desenvolvimento remoto do VS Code, que precisa de acesso específico à rede para instalar o servidor remoto e as extensões. Consulte [Remote Development FAQ](https://code.visualstudio.com/docs/remote/faq) na documentação do Visual Studio Code para ver todos os requisitos de rede. Abaixo é apresentado um resumo do requisitos:
+ O acesso aos endpoints do servidor do VS Code da Microsoft é necessário para instalar e atualizar o servidor remoto do VS Code.
+ O acesso ao Visual Studio Marketplace e aos endpoints de CDN relacionados é necessário para instalar as extensões do VS Code por meio do painel de extensões (também é possível instalar as extensões manualmente usando arquivos VSIX sem conexão com a internet).
+ Algumas extensões podem exigir acesso a endpoints adicionais para baixar dependências específicas. Consulte a documentação da extensão para conhecer os requisitos específicos de conectividade.

**Requisitos de rede específicos da Kiro**

A conexão remota do Kiro requer o desenvolvimento remoto do Kiro, que precisa de acesso específico à rede para instalar o servidor remoto e as extensões. Para configuração de firewall e servidor proxy, consulte Configuração do [firewall Kiro](https://kiro.dev/docs/privacy-and-security/firewalls/). Os requisitos são semelhantes aos do VS Code:
+ O acesso aos endpoints do servidor Kiro é necessário para instalar e atualizar o servidor remoto Kiro.
+ O acesso ao mercado de extensões e aos endpoints CDN relacionados é necessário para instalar as extensões Kiro por meio do painel de extensões.
+ Algumas extensões podem exigir acesso a endpoints adicionais para baixar dependências específicas. Consulte a documentação da extensão para conhecer os requisitos específicos de conectividade.

## Configurar a rede de acesso remoto do Studio
<a name="remote-access-remote-setup-vpc-subnets-without-internet-access-setup"></a>

Você tem as seguintes opções para conectar seu IDE remoto aos espaços do Studio em sub-redes privadas:
+ Proxy HTTP (compatível com VS Code e Kiro)
+ Servidor remoto e extensões pré-empacotados (somente VS Code)

### Configurar o proxy HTTP com lista de permissões controlada
<a name="remote-access-remote-setup-vpc-subnets-without-internet-access-setup-http-proxy-with-controlled-allow-listing"></a>

Quando o espaço do Studio estiver protegido por um firewall ou proxy, permita o acesso ao seu servidor IDE e aos endpoints relacionados à extensão CDNs .

1. Configure uma sub-rede pública para executar o proxy HTTP (como o Squid), na qual é possível configurar quais sites permitir. Certifique-se de que o proxy HTTP esteja acessível por SageMaker espaços.

1. A sub-rede pública pode estar na mesma VPC usada pelo Studio ou em uma VPC separada emparelhada com todos os domínios VPCs usados pela Amazon AI. SageMaker 

### Configurar servidores remotos e extensões pré-empacotados (somente VS Code)
<a name="remote-access-remote-setup-vpc-subnets-without-internet-access-setup-pre-packaged-vs-code-remote-server-and-extensions"></a>

**nota**  
Essa opção está disponível somente para o Visual Studio Code. O Kiro e o Cursor não oferecem suporte à configuração pré-empacotada do servidor remoto.

Quando seus espaços do Studio não conseguem acessar endpoints externos para baixar o servidor remoto e extensões do VS Code, você pode empacotá-los previamente. Com essa abordagem, exporte um tarball contendo o diretório `.VS Code-server` de uma versão específica do VS Code. Em seguida, você usa um script SageMaker AI Lifecycle Configuration (LCC) para copiar e extrair o tarball no diretório inicial (`/home/sagemaker-user`) dos espaços do Studio. Essa solução baseada em LCC funciona com imagens AWS fornecidas e personalizadas. Mesmo quando você não está usando sub-redes privadas, essa abordagem acelera a configuração do servidor remoto e das extensões pré-instaladas do VS Code.

**Instruções para pré-empacotar o servidor remoto e as extensões do VS Code**

1. Instale o VS Code na máquina local.

1. Inicie um contêiner do Docker baseado em Linux (x64) com SSH habilitado, localmente ou por meio de um espaço do Studio com acesso à internet. Recomendamos usar um espaço temporário do Studio com acesso remoto e internet habilitada para simplificar.

1. Conecte o VS Code instalado ao contêiner do Docker local via SSH remoto ou conecte-se ao espaço do Studio por meio do recurso do VS Code remoto do Studio. O VS Code instala o servidor remoto no `.VS Code-server` no diretório inicial do contêiner remoto durante a conexão. Consulte [Exemplo de uso do Dockerfile para pré-empacotar seu servidor remoto e extensões do VS Code](remote-access-local-ide-setup-vpc-no-internet.md#remote-access-local-ide-setup-vpc-no-internet-pre-packaged-vs-code-remote-server-and-extensions-example-dockerfile) para obter mais informações.

1. Depois de se conectar remotamente, você deve usar o perfil padrão do VS Code.

1. Instale as extensões necessárias do VS Code e valide a respectiva funcionalidade. Por exemplo, crie e execute um caderno para instalar extensões relacionadas ao caderno Jupyter no servidor remoto do VS Code.

   Certifique-se de [instalar a AWS Toolkit for Visual Studio Code extensão](https://docs.aws.amazon.com/toolkit-for-visual-studio/latest/user-guide/setup.html) depois de se conectar ao contêiner remoto.

1. Arquive o diretório `$HOME/.VS Code-server` (por exemplo, `VS Code-server-with-extensions-for-1.100.2.tar.gz`) no contêiner do Docker local ou no terminal do espaço do Studio conectado remotamente.

1. Faça upload do tarball no Amazon S3.

1. Crie um [script de LCC](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-lifecycle-configurations.html) ([Exemplo de script LCC (LCC-install-VS C ode-server-v 1.100.2)](remote-access-local-ide-setup-vpc-no-internet.md#remote-access-local-ide-setup-vpc-no-internet-pre-packaged-vs-code-remote-server-and-extensions-example-lcc)) que:
   + Baixe o arquivo específico do Amazon S3.
   + Extraia o arquivo para o diretório inicial quando um espaço do Studio em uma sub-rede privada é iniciado.

1. (Opcional) Estenda o script de LCC para permitir tarballs do servidor do VS Code por usuário armazenados em pastas do Amazon S3 específicas do usuário.

1. (Opcional) Mantenha scripts de LCC específicos da versão ([Exemplo de script LCC (LCC-install-VS C ode-server-v 1.100.2)](remote-access-local-ide-setup-vpc-no-internet.md#remote-access-local-ide-setup-vpc-no-internet-pre-packaged-vs-code-remote-server-and-extensions-example-lcc)) que você possa anexar aos seus espaços para garantir a compatibilidade entre o cliente do VS Code local e o servidor remoto.