Configurar o acesso remoto

Antes que os usuários possam conectar seu Visual Studio Code local aos espaços do Studio, o administrador deve configurar as permissões. Esta seção fornece instruções para administradores sobre como configurar seu domínio Amazon SageMaker AI com acesso remoto.

Métodos de conexão diferentes exigem permissões diferentes do IAM. Configure as permissões apropriadas com base em como seus usuários se conectarão. Use o fluxo de trabalho a seguir junto com as permissões alinhadas ao método de conexão.

Escolha uma das seguintes permissões de método de conexão que se alinhe às de seus usuários Métodos de conexão
Crie uma política personalizada do IAM com base na permissão do método de conexão

Configure a segurança e as permissões

Método 1: permissões de links diretos

Para usuários que se conectam por meio de links diretos da SageMaker AI UI, use a permissão a seguir e anexe-a à sua função de execução de espaço de SageMaker IA ou função de execução de domínio. Se a função de execução de espaço não estiver configurada, a função de execução de domínio será usada por padrão.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

Método 2: permissões do AWS kit de ferramentas

Para usuários que se conectam por meio da AWS Toolkit for Visual Studio Code extensão, anexe a seguinte política a uma das seguintes:

Para autenticação do IAM, anexe essa política ao usuário ou função do IAM.
Para autenticação do iDC, anexe essa política aos conjuntos de permissões gerenciados pelo iDC.

Importante

A política a seguir usada * como restrição de recursos só é recomendada para fins de teste rápido. Para ambientes de produção, você deve limitar essas permissões a um espaço específico ARNs para aplicar o princípio do menor privilégio. Veja exemplos Controle de acesso avançado de políticas de permissão mais granulares usando recursos ARNs, tags e restrições baseadas em rede.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:ListApps",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:DescribeApp",
                "sagemaker:StartSession",
                "sagemaker:DescribeDomain",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        }
    ]
}

Método 3: permissões do terminal SSH

Para conexões de terminal SSH, a StartSession API é chamada pelo script de comando do proxy SSH abaixo, usando as credenciais locais AWS . Consulte Configurar o AWS CLI para obter informações e instruções sobre como configurar as AWS credenciais locais dos usuários. Para usar essas permissões:

Anexe essa política ao usuário ou à função do IAM associada às AWS credenciais locais.
Se estiver usando um perfil de credencial nomeado, modifique o comando proxy na sua configuração SSH:


ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME

nota

A política precisa ser anexada à identidade do IAM (usuário/função) usada em sua configuração de AWS credenciais locais, não à função de execução do domínio Amazon SageMaker AI.

Importante


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": "*"
        }
    ]
}

Após a configuração, os usuários podem correr ssh my_studio_space_abc para iniciar o espaço. Para obter mais informações, consulte Método 3: Conecte-se a partir do terminal via SSH CLI.

Tópicos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Conecte o VS Code local

Controle de acesso avançado