As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configurar o acesso remoto
<a name="remote-access-remote-setup"></a>

Antes que os usuários possam conectar seu IDE remoto aos espaços do Studio, o administrador deve configurar as permissões. Esta seção fornece instruções para administradores sobre como configurar seu domínio Amazon SageMaker AI com acesso remoto.

Métodos de conexão diferentes exigem permissões diferentes do IAM. Configure as permissões apropriadas com base em como os usuários se conectarão. Use o fluxo de trabalho a seguir com as permissões alinhadas ao método de conexão.

**Importante**  
No momento, as conexões remotas do IDE são autenticadas usando credenciais do IAM, não do Centro de Identidade do IAM. Isso se aplica a domínios que usam o [método de autenticação](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-custom.html#onboard-custom-authentication-details) do Centro de Identidade do IAM para que seus usuários acessem o domínio. Se você optar por não usar a autenticação do IAM para conexões remotas, desabilite esse recurso usando a chave condicional `RemoteAccess` em suas políticas do IAM. Para obter mais informações, consulte [Imposição do acesso remoto](remote-access-remote-setup-abac.md#remote-access-remote-setup-abac-remote-access-enforcement). Ao usar as credenciais do IAM, as conexões remotas do IDE podem manter sessões ativas mesmo depois de você sair da sessão do IAM Identity Center. Às vezes, essas conexões remotas do IDE podem persistir por até 12 horas. Para garantir a segurança do seu ambiente, os administradores devem revisar as configurações de duração da sessão sempre que possível e ter cuidado ao usar estações de trabalho compartilhadas ou redes públicas.

1. Escolha uma das permissões de método de conexão a seguir que se alinhe aos [Métodos de conexão](remote-access.md#remote-access-connection-methods) de seus usuários.

1. [Crie uma política personalizada do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) com base na permissão do método de conexão.

**Topics**
+ [Etapa 1: configurar a segurança e permissões](#remote-access-remote-setup-permissions)
+ [Etapa 2: habilitar o acesso remoto ao seu espaço](#remote-access-remote-setup-enable)
+ [Controle de acesso avançado](remote-access-remote-setup-abac.md)
+ [Configurar o Studio para ser executado com sub-redes sem acesso à internet em uma VPC](remote-access-remote-setup-vpc-subnets-without-internet-access.md)
+ [Configure a filtragem automatizada de espaço do Studio ao usar o Toolkit AWS](remote-access-remote-setup-filter.md)

## Etapa 1: configurar a segurança e permissões
<a name="remote-access-remote-setup-permissions"></a>

**Topics**
+ [Método 1: permissões de link direto](#remote-access-remote-setup-method-1-deep-link-permissions)
+ [Método 2: permissões do AWS kit de ferramentas](#remote-access-remote-setup-method-2-aws-toolkit-permissions)
+ [Método 3: permissões do terminal SSH](#remote-access-remote-setup-method-3-ssh-terminal-permissions)

**Importante**  
Usar permissões amplas para`sagemaker:StartSession`, especialmente com um recurso curinga, `*` cria o risco de que qualquer usuário com essa permissão possa iniciar uma sessão em qualquer aplicativo do SageMaker Space na conta. Isso pode causar o impacto de cientistas de dados acessarem involuntariamente os Spaces de outros usuários SageMaker . Para ambientes de produção, você deve limitar essas permissões a um espaço específico ARNs para aplicar o princípio do menor privilégio. Veja exemplos [Controle de acesso avançado](remote-access-remote-setup-abac.md) de políticas de permissão mais granulares usando recursos ARNs, tags e restrições baseadas em rede.

### Método 1: permissões de link direto
<a name="remote-access-remote-setup-method-1-deep-link-permissions"></a>

Para usuários que se conectam por meio de links diretos da SageMaker interface do usuário, use a permissão a seguir e anexe-a à sua função de [execução do espaço de SageMaker IA ou à sua função](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-space) de [execução de domínio](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role). Se o perfil de execução do espaço não estiver configurado, o perfil de execução do domínio será usada por padrão.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}
```

------

### Método 2: permissões do AWS kit de ferramentas
<a name="remote-access-remote-setup-method-2-aws-toolkit-permissions"></a>

Para usuários que se conectam por meio da AWS Toolkit for Visual Studio Code extensão, anexe a seguinte política a uma das seguintes:
+ Para autenticação do IAM, anexe essa política ao usuário ou perfil do IAM.
+ Para autenticação do IdC, anexe essa política aos [conjuntos de permissões](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) gerenciados pelo IdC.

Para mostrar somente espaços relevantes para o usuário autenticado, consulte[Visão geral sobre filtragem](remote-access-remote-setup-filter.md#remote-access-remote-setup-filter-overview).

**Importante**  
A seguir, a política que usa `*` como restrição de recursos só é recomendada para realizar testes rápidos. Para ambientes de produção, você deve limitar essas permissões a um espaço específico ARNs para aplicar o princípio do menor privilégio. Veja exemplos [Controle de acesso avançado](remote-access-remote-setup-abac.md) de políticas de permissão mais granulares usando recursos ARNs, tags e restrições baseadas em rede.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:ListApps",
                "sagemaker:DescribeApp",
                "sagemaker:DescribeDomain",
                "sagemaker:UpdateSpace",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowStartSessionOnSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}
```

------

### Método 3: permissões do terminal SSH
<a name="remote-access-remote-setup-method-3-ssh-terminal-permissions"></a>

Para conexões de terminal SSH, a `StartSession` API é chamada pelo script de comando do proxy SSH abaixo, usando as credenciais locais AWS . Consulte [Configurar o AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html) para obter informações e instruções sobre como configurar as AWS credenciais locais do usuário. Para usar estas permissões:

1. Anexe essa política ao usuário ou perfil do IAM associado às credenciais locais da AWS .

1. Se estiver usando um perfil de credencial nomeado, modifique o comando do proxy na sua configuração de SSH:

   ```
   ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
   ```
**nota**  
A política precisa ser anexada à identidade do IAM (usuário/função) usada em sua configuração de AWS credenciais locais, não à função de execução do domínio Amazon SageMaker AI.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "AllowStartSessionOnSpecificSpaces",
               "Effect": "Allow",
               "Action": "sagemaker:StartSession",
               "Resource": [
                   "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                   "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
               ]
           }
       ]
   }
   ```

------

Após a configuração, os usuários podem executar `ssh my_studio_space_abc` para iniciar o espaço. Para obter mais informações, consulte [Método 3: conectar-se pelo terminal via CLI do SSH](remote-access-local-ide-setup.md#remote-access-local-ide-setup-local-vs-code-method-3-connect-from-the-terminal-via-ssh-cli).

## Etapa 2: habilitar o acesso remoto ao seu espaço
<a name="remote-access-remote-setup-enable"></a>

Depois de configurar as permissões, você deve ativar o **Acesso Remoto** e iniciar seu espaço no Studio antes que o usuário possa se conectar usando o IDE remoto. Essa configuração só precisa ser feita uma vez.

**nota**  
Se seus usuários estão se conectando usando[Método 2: permissões do AWS kit de ferramentas](#remote-access-remote-setup-method-2-aws-toolkit-permissions), você não precisa necessariamente dessa etapa. AWS Toolkit for Visual Studio os usuários podem habilitar o acesso remoto a partir do Toolkit.

**Ativar o acesso remoto ao espaço do Studio**

1. [Inicie o Amazon SageMaker Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-updated-launch.html#studio-updated-launch-console).

1. Abra a interface de usuário do Studio.

1. Navegue até o seu espaço.

1. Nos detalhes do espaço, ative **Acesso remoto**.

1. Escolha **Executar espaço**.