Configurar o acesso remoto - SageMaker IA da Amazon
Etapa 1: configurar a segurança e permissõesEtapa 2: habilitar o acesso remoto ao seu espaço

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar o acesso remoto

O administrador deve configurar permissões antes que os usuários possam conectar o Visual Studio Code local aos espaços do Studio. Esta seção fornece instruções para administradores sobre como configurar seu domínio Amazon SageMaker AI com acesso remoto.

Métodos de conexão diferentes exigem permissões diferentes do IAM. Configure as permissões apropriadas com base em como os usuários se conectarão. Use o fluxo de trabalho a seguir com as permissões alinhadas ao método de conexão.

Importante

No momento, as conexões remotas do IDE são autenticadas usando credenciais do IAM, não do Centro de Identidade do IAM. Isso se aplica a domínios que usam o método de autenticação do Centro de Identidade do IAM para que seus usuários acessem o domínio. Se você optar por não usar a autenticação do IAM para conexões remotas, desabilite esse recurso usando a chave condicional RemoteAccess em suas políticas do IAM. Para obter mais informações, consulte Imposição do acesso remoto. Ao usar as credenciais do IAM, a conexão do IDE local (Visual Studio Code) pode manter as sessões ativas mesmo depois de você sair da sessão do IAM Identity Center. Às vezes, essas conexões do IDE local (Visual Studio Code) podem persistir por até 12 horas. Para garantir a segurança do seu ambiente, os administradores devem revisar as configurações de duração da sessão sempre que possível e ter cuidado ao usar estações de trabalho compartilhadas ou redes públicas.

  1. Escolha uma das permissões de método de conexão a seguir que se alinhe aos Métodos de conexão de seus usuários.

  2. Crie uma política personalizada do IAM com base na permissão do método de conexão.

Tópicos

Etapa 1: configurar a segurança e permissões

Importante

Usar permissões amplas parasagemaker:StartSession, especialmente com um recurso curinga, * cria o risco de que qualquer usuário com essa permissão possa iniciar uma sessão em qualquer aplicativo do SageMaker Space na conta. Isso pode causar o impacto de cientistas de dados acessarem involuntariamente os Spaces de outros usuários SageMaker . Para ambientes de produção, você deve limitar essas permissões a um espaço específico ARNs para aplicar o princípio do menor privilégio. Veja exemplos Controle de acesso avançado de políticas de permissão mais granulares usando recursos ARNs, tags e restrições baseadas em rede.

Para usuários que se conectam por meio de links diretos da SageMaker interface do usuário, use a permissão a seguir e anexe-a à sua função de execução do espaço de SageMaker IA ou à sua função de execução de domínio. Se o perfil de execução do espaço não estiver configurado, o perfil de execução do domínio será usada por padrão.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

Método 2: permissões do AWS kit de ferramentas

Para usuários que se conectam por meio da AWS Toolkit for Visual Studio Code extensão, anexe a seguinte política a uma das seguintes:

  • Para autenticação do IAM, anexe essa política ao usuário ou perfil do IAM.

  • Para autenticação do IdC, anexe essa política aos conjuntos de permissões gerenciados pelo IdC.

Para mostrar somente espaços relevantes para o usuário autenticado, consulteVisão geral sobre filtragem.

Importante

A seguir, a política que usa * como restrição de recursos só é recomendada para realizar testes rápidos. Para ambientes de produção, você deve limitar essas permissões a um espaço específico ARNs para aplicar o princípio do menor privilégio. Veja exemplos Controle de acesso avançado de políticas de permissão mais granulares usando recursos ARNs, tags e restrições baseadas em rede.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:ListApps",
                "sagemaker:DescribeApp",
                "sagemaker:DescribeDomain",
                "sagemaker:UpdateSpace",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowStartSessionOnSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}

Método 3: permissões do terminal SSH

Para conexões de terminal SSH, a StartSession API é chamada pelo script de comando do proxy SSH abaixo, usando as credenciais locais AWS . Consulte Configurar o AWS CLI para obter informações e instruções sobre como configurar as AWS credenciais locais do usuário. Para usar estas permissões:

  1. Anexe essa política ao usuário ou perfil do IAM associado às credenciais locais da AWS .

  2. Se estiver usando um perfil de credencial nomeado, modifique o comando do proxy na sua configuração de SSH:

    ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
    nota

    A política precisa ser anexada à identidade do IAM (usuário/função) usada em sua configuração de AWS credenciais locais, não à função de execução do domínio Amazon SageMaker AI.

    JSON
    {
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "AllowStartSessionOnSpecificSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}

Após a configuração, os usuários podem executar ssh my_studio_space_abc para iniciar o espaço. Para obter mais informações, consulte Método 3: conectar-se pelo terminal via CLI do SSH.

Etapa 2: habilitar o acesso remoto ao seu espaço

Depois de configurar as permissões, você deve ativar Acesso remoto e iniciar seu espaço no Studio para que o usuário possa se conectar usando o VS Code local. Essa configuração só precisa ser feita uma vez.

nota

Se seus usuários estão se conectando usandoMétodo 2: permissões do AWS kit de ferramentas, você não precisa necessariamente dessa etapa. AWS Toolkit for Visual Studio os usuários podem habilitar o acesso remoto a partir do Toolkit.

Ativar o acesso remoto ao espaço do Studio

  1. Inicie o Amazon SageMaker Studio.

  2. Abra a interface de usuário do Studio.

  3. Navegue até o seu espaço.

  4. Nos detalhes do espaço, ative Acesso remoto.

  5. Escolha Executar espaço.