设置远程访问 - 亚马逊 SageMaker AI
配置安全性和权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置远程访问

在用户将其本地 Visual Studio Code 连接到 Studio 空间之前,管理员必须配置权限。本节为管理员提供有关如何设置具有远程访问权限的 Amazon SageMaker AI 域的说明。

不同的连接方法需要不同的 IAM 权限。根据用户的连接方式配置相应的权限。使用以下工作流程以及与连接方法一致的权限。

  1. 选择以下与您的用户一致的连接方法权限之一 连接方法

  2. 根据连接方法权限@@ 创建自定义 IAM 策略

配置安全性和权限

对于通过 SageMaker AI UI 的深度链接进行连接的用户,请使用以下权限并将其附加到您的 SageMaker AI 空间执行角色域执行角色。如果未配置空间执行角色,则默认使用域执行角色。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

方法 2: AWS 工具包权限

对于通过 AWS Toolkit for Visual Studio Code 扩展程序连接的用户,请将以下策略附加到以下策略之一:

  • 对于 IAM 身份验证,请将此策略附加到 IAM 用户或角色。

  • 对于 IdC 身份验证,请将此策略附加到 IdC 管理的权限集

重要

仅出于快速测试目的,才建议使用以下策略*作为资源约束。对于生产环境,应将这些权限范围缩小到特定空间 ARNs ,以强制执行最低权限原则。高级访问控制有关使用资源 ARNs、标签和基于网络的限制的更精细权限策略的示例,请参阅。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:ListApps",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:DescribeApp",
                "sagemaker:StartSession",
                "sagemaker:DescribeDomain",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        }
    ]
}

方法 3:SSH 终端权限

对于 SSH 终端连接, StartSession API 由下面的 SSH 代理命令脚本使用本地 AWS 凭据调用。 AWS CLI有关设置用户本地 AWS 凭证的信息和说明,请参阅配置。要使用这些权限,请执行以下操作:

  1. 将此策略附加到与本地 AWS 证书关联的 IAM 用户或角色。

  2. 如果使用命名的凭据配置文件,请修改 SSH 配置中的代理命令:

ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
注意

该策略需要附加到您的本地 AWS 证书配置中使用的 IAM 身份(用户/角色),而不是附加到 Amazon A SageMaker I 域执行角色。

重要

仅出于快速测试目的,才建议使用以下策略*作为资源约束。对于生产环境,应将这些权限范围缩小到特定空间 ARNs ,以强制执行最低权限原则。高级访问控制有关使用资源 ARNs、标签和基于网络的限制的更精细权限策略的示例,请参阅。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": "*"
        }
    ]
}

设置完成后,用户ssh my_studio_space_abc可以运行启动空间。有关更多信息,请参阅 方法 3:通过 SSH CLI 从终端连接

主题