設定遠端存取 - Amazon SageMaker AI
設定安全性和許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定遠端存取

管理員必須先設定許可,使用者才能將其本機 Visual Studio 程式碼連線至 Studio 空間。本節提供管理員如何使用遠端存取設定其 Amazon SageMaker AI 網域的指示。

不同的連線方法需要不同的 IAM 許可。根據您的使用者連線方式設定適當的許可。使用下列工作流程,以及與連線方法一致的許可。

  1. 選擇下列其中一個符合您使用者 的連線方法許可 連線方法

  2. 根據連線方法許可建立自訂 IAM 政策

設定安全性和許可

對於透過 SageMaker AI UI 深層連結連線的使用者,請使用下列許可,並將其連接至 SageMaker AI 空間執行角色網域執行角色。如果未設定空間執行角色,預設會使用網域執行角色。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

方法 2: AWS Toolkit 許可

對於透過 AWS Toolkit for Visual Studio Code 擴充功能連線的使用者,請將下列政策連接至下列其中一項:

  • 對於 IAM 身分驗證,請將此政策連接至 IAM 使用者或角色。

  • 對於 IdC 身分驗證,請將此政策連接至 IdC 管理的許可集

重要

以下使用 *做為資源限制的政策僅建議用於快速測試目的。對於生產環境,您應該將這些許可範圍縮小為特定空間 ARNs以強制執行最低權限原則。進階存取控制 如需使用資源 ARNs、標籤和網路型限制條件的更精細許可政策範例,請參閱 。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:ListApps",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:DescribeApp",
                "sagemaker:StartSession",
                "sagemaker:DescribeDomain",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        }
    ]
}

方法 3:SSH 終端機許可

對於 SSH 終端機連線,以下 SSH 代理命令指令碼會使用本機 AWS 憑證呼叫 StartSession API。如需設定使用者本機 AWS 登入AWS CLI資料的相關資訊和指示,請參閱設定 。若要使用這些許可:

  1. 將此政策連接至與本機 AWS 登入資料相關聯的 IAM 使用者或角色。

  2. 如果使用具名憑證描述檔,請在 SSH 組態中修改代理命令:

ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
注意

政策需要連接到本機 AWS 登入資料組態中使用的 IAM 身分 (使用者/角色),而不是 Amazon SageMaker AI 網域執行角色。

重要

以下使用 *做為資源限制的政策僅建議用於快速測試目的。對於生產環境,您應該將這些許可範圍縮小為特定空間 ARNs以強制執行最低權限原則。進階存取控制 如需使用資源 ARNs、標籤和網路型限制條件的更精細許可政策範例,請參閱 。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": "*"
        }
    ]
}

設定之後,使用者可以執行 ssh my_studio_space_abc來啟動空間。如需詳細資訊,請參閱方法 3:透過 SSH CLI 從終端機連線

主題