本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 设置远程访问
在用户将其远程 IDE 连接到 Studio 空间之前,管理员必须配置权限。本节为管理员提供有关如何设置具有远程访问权限的 Amazon SageMaker AI 域的说明。
所需的 IAM 权限因连接方法而异。根据用户的连接方法配置适当的权限。使用以下工作流以及与连接方法相对应的权限。
**重要**
目前,远程 IDE 连接使用 IAM 凭证而非 IAM Identity Center 进行身份验证。这适用于那些对访问域的用户使用 IAM Identity Center [身份验证方法](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-custom.html#onboard-custom-authentication-details)的域。如果您不想对远程连接使用 IAM 身份验证,可使用 IAM 策略中的 `RemoteAccess` 条件密钥来禁用此功能,从而选择退出。有关更多信息,请参阅 [远程访问执行](remote-access-remote-setup-abac.md#remote-access-remote-setup-abac-remote-access-enforcement)。使用 IAM 凭证时,即使您注销 IAM Identity Center 会话,远程 IDE 连接仍可能保持活动会话。有时,这些远程 IDE 连接可以持续长达 12 小时。为确保环境的安全,管理员必须尽可能查看会话持续时间设置,并在使用共享工作站或公共网络时要谨慎行事。
1. 选择下列与您用户的 [连接方法](remote-access.md#remote-access-connection-methods) 对应的连接方法权限之一。
1. 根据连接方法权限[创建自定义 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
**Topics**
+ [步骤 1:配置安全和权限](#remote-access-remote-setup-permissions)
+ [步骤 2:为空间启用远程访问](#remote-access-remote-setup-enable)
+ [高级访问控制](remote-access-remote-setup-abac.md)
+ [将 Studio 设置为在 VPC 中使用无互联网访问权限的子网运行](remote-access-remote-setup-vpc-subnets-without-internet-access.md)
+ [使用 AWS 工具包时设置自动筛选工作室空间](remote-access-remote-setup-filter.md)
## 步骤 1:配置安全和权限
**Topics**
+ [方法 1:深度链接权限](#remote-access-remote-setup-method-1-deep-link-permissions)
+ [方法 2: AWS 工具包权限](#remote-access-remote-setup-method-2-aws-toolkit-permissions)
+ [方法 3:SSH 终端权限](#remote-access-remote-setup-method-3-ssh-terminal-permissions)
**重要**
对使用广泛权限`sagemaker:StartSession`,尤其是使用通配符资源`*`会带来风险,即任何具有此权限的用户都可能针对账户中的任何 SageMaker Space 应用程序启动会话。这可能会导致数据科学家无意中访问其他用户 SageMaker 空间的影响。对于生产环境,应将这些权限范围缩小到特定空间 ARNs ,以强制执行最低权限原则。[高级访问控制](remote-access-remote-setup-abac.md)有关使用资源 ARNs、标签和基于网络的限制的更精细权限策略的示例,请参阅。
### 方法 1:深度链接权限
对于通过用户 SageMaker 界面深度链接进行连接的用户,请使用以下权限并将其附加到您的 SageMaker AI [空间执行角色](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-space)或[域执行角色](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role)。如果未配置空间执行角色,系统将默认使用域执行角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictStartSessionOnSpacesToUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:StartSession"
],
"Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"ArnLike": {
"sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
}
}
}
]
}
```
------
### 方法 2: AWS 工具包权限
对于通过 AWS Toolkit for Visual Studio Code 扩展程序连接的用户,请将以下策略附加到以下策略之一:
+ 对于 IAM 身份验证,请将此策略附加到 IAM 用户或角色
+ 对于 IdC 身份验证,请将此策略附加到 IdC 管理的[权限集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)
要仅显示与经过身份验证的用户相关的空格,请参阅[筛选概述](remote-access-remote-setup-filter.md#remote-access-remote-setup-filter-overview)。
**重要**
建议仅出于快速测试目的使用以下将 `*` 用作资源约束的策略。对于生产环境,应将这些权限范围缩小到特定空间 ARNs ,以强制执行最低权限原则。[高级访问控制](remote-access-remote-setup-abac.md)有关使用资源 ARNs、标签和基于网络的限制的更精细权限策略的示例,请参阅。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:ListSpaces",
"sagemaker:DescribeSpace",
"sagemaker:ListApps",
"sagemaker:DescribeApp",
"sagemaker:DescribeDomain",
"sagemaker:UpdateSpace",
"sagemaker:CreateApp",
"sagemaker:DeleteApp",
"sagemaker:AddTags"
],
"Resource": "*"
},
{
"Sid": "AllowStartSessionOnSpaces",
"Effect": "Allow",
"Action": "sagemaker:StartSession",
"Resource": [
"arn:aws:sagemaker:{{us-east-1}}:{{111122223333}}:space/{{domain-id}}/{{space-name-1}}",
"arn:aws:sagemaker:{{us-east-1}}:{{111122223333}}:space/{{domain-id}}/{{space-name-2}}"
]
}
]
}
```
------
### 方法 3:SSH 终端权限
对于 SSH 终端连接,`StartSession`API 由下面的 SSH 代理命令脚本使用本地 AWS 凭据调用。 AWS CLI有关设置用户本地 AWS 凭证的信息和说明,请参阅[配置](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)。要使用这些权限,请执行以下操作:
1. 将此策略附加到与本地 AWS 凭证关联的 IAM 用户或角色。
1. 如果使用命名的凭证配置文件,请在 SSH 配置中修改代理命令:
```
ProxyCommand '/home/user/sagemaker_connect.sh' '%h' {{YOUR_CREDENTIAL_PROFILE_NAME}}
```
**注意**
该策略需要附加到您的本地 AWS 证书配置中使用的 IAM 身份(用户/角色),而不是附加到 Amazon A SageMaker I 域执行角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowStartSessionOnSpecificSpaces",
"Effect": "Allow",
"Action": "sagemaker:StartSession",
"Resource": [
"arn:aws:sagemaker:{{us-east-1}}:{{111122223333}}:space/{{domain-id}}/{{space-name-1}}",
"arn:aws:sagemaker:{{us-east-1}}:{{111122223333}}:space/{{domain-id}}/{{space-name-2}}"
]
}
]
}
```
------
设置完成后,用户可以运行 `ssh my_studio_space_abc` 来启动空间。有关更多信息,请参阅 [方法 3:通过 SSH CLI 从终端连接](remote-access-local-ide-setup.md#remote-access-local-ide-setup-local-vs-code-method-3-connect-from-the-terminal-via-ssh-cli)。
## 步骤 2:为空间启用远程访问
设置权限后,必须打开**远程访问**并在 Studio 中启动空间,然后用户才能使用其远程 IDE 进行连接。此设置只需执行一次。
**注意**
如果您的用户使用连接[方法 2: AWS 工具包权限](#remote-access-remote-setup-method-2-aws-toolkit-permissions),则不一定需要执行此步骤。 AWS Toolkit for Visual Studio 用户可以从 Toolkit 启用远程访问。
**为 Studio 空间激活远程访问**
1. [启动 Amazon SageMaker Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-updated-launch.html#studio-updated-launch-console)。
1. 打开 Studio UI。
1. 导航到您的空间。
1. 在空间详细信息中,开启**远程访问**。
1. 选择**运行空间**。