设置远程访问 - 亚马逊 SageMaker AI
步骤 1:配置安全和权限步骤 2:为空间启用远程访问

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置远程访问

管理员必须先配置权限,之后用户才能将其本地 Visual Studio Code 连接到 Studio 空间。本节为管理员提供有关如何设置具有远程访问权限的 Amazon SageMaker AI 域的说明。

所需的 IAM 权限因连接方法而异。根据用户的连接方法配置适当的权限。使用以下工作流以及与连接方法相对应的权限。

重要

目前,远程 IDE 连接使用 IAM 凭证而非 IAM Identity Center 进行身份验证。这适用于那些对访问域的用户使用 IAM Identity Center 身份验证方法的域。如果您不想对远程连接使用 IAM 身份验证,可使用 IAM 策略中的 RemoteAccess 条件密钥来禁用此功能,从而选择退出。有关更多信息,请参阅 远程访问执行。使用 IAM 凭证时,即使您注销 IAM 身份中心会话,本地 IDE(Visual Studio Code)连接仍可能保持活动会话。有时,这些本地 IDE(Visual Studio Code)连接可以持续长达 12 个小时。为确保环境的安全,管理员必须尽可能查看会话持续时间设置,并在使用共享工作站或公共网络时要谨慎行事。

  1. 选择下列与您用户的 连接方法 对应的连接方法权限之一。

  2. 根据连接方法权限创建自定义 IAM 策略

主题

步骤 1:配置安全和权限

重要

对使用广泛权限sagemaker:StartSession,尤其是使用通配符资源*会带来风险,即任何具有此权限的用户都可能针对账户中的任何 SageMaker Space 应用程序启动会话。这可能会导致数据科学家无意中访问其他用户 SageMaker 空间的影响。对于生产环境,应将这些权限范围缩小到特定的空间 ARNs ,以强制执行最小权限原则。高级访问控制有关使用资源 ARNs、标签和基于网络的限制的更精细权限策略的示例,请参阅。

对于通过用户 SageMaker 界面深度链接进行连接的用户,请使用以下权限并将其附加到您的 SageMaker AI 空间执行角色域执行角色。如果未配置空间执行角色,系统将默认使用域执行角色。

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

方法 2:AWS工具包权限

对于通过AWS Toolkit for Visual Studio Code扩展程序连接的用户,请将以下策略附加到以下策略之一:

  • 对于 IAM 身份验证,请将此策略附加到 IAM 用户或角色

  • 对于 IdC 身份验证,请将此策略附加到 IdC 管理的权限集

要仅显示与经过身份验证的用户相关的空格,请参阅筛选概述

重要

建议仅出于快速测试目的使用以下将 * 用作资源约束的策略。对于生产环境,应将这些权限范围缩小到特定的空间 ARNs ,以强制执行最小权限原则。高级访问控制有关使用资源 ARNs、标签和基于网络的限制的更精细权限策略的示例,请参阅。

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:ListApps",
                "sagemaker:DescribeApp",
                "sagemaker:DescribeDomain",
                "sagemaker:UpdateSpace",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowStartSessionOnSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}

方法 3:SSH 终端权限

对于 SSH 终端连接,StartSessionAPI 由下面的 SSH 代理命令脚本使用本地AWS凭据调用。AWS CLI有关设置用户本地AWS凭证的信息和说明,请参阅配置。要使用这些权限,请执行以下操作:

  1. 将此策略附加到与本地 AWS 凭证关联的 IAM 用户或角色。

  2. 如果使用命名的凭证配置文件,请在 SSH 配置中修改代理命令:

    ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
    注意

    该策略需要附加到您的本地AWS证书配置中使用的 IAM 身份(用户/角色),而不是附加到 Amazon A SageMaker I 域执行角色。

    JSON
    {
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "AllowStartSessionOnSpecificSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}

设置完成后,用户可以运行 ssh my_studio_space_abc 来启动空间。有关更多信息,请参阅 方法 3:通过 SSH CLI 从终端连接

步骤 2:为空间启用远程访问

设置权限后,您必须先开启远程访问并在 Studio 中启动空间,之后用户才能使用本地 VS Code 进行连接。此设置只需执行一次。

注意

如果您的用户使用连接方法 2:AWS工具包权限,则不一定需要执行此步骤。 AWS Toolkit for Visual Studio用户可以从 Toolkit 启用远程访问。

为 Studio 空间激活远程访问

  1. 启动 Amazon SageMaker Studio

  2. 打开 Studio UI。

  3. 导航到您的空间。

  4. 在空间详细信息中,开启远程访问

  5. 选择运行空间