設定遠端存取 - Amazon SageMaker AI
步驟 1:設定安全性和許可步驟 2:為您的空間啟用遠端存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定遠端存取

管理員必須先設定許可,使用者才能將其本機 Visual Studio Code 連線至 Studio 空間。本節提供管理員如何使用遠端存取設定其 Amazon SageMaker AI 網域的指示。

不同的連線方法需要不同的 IAM 許可。根據您的使用者連線方式設定適當的許可。使用下列工作流程,以及與連線方法一致的許可。

重要

目前,遠端 IDE 連線會使用 IAM 憑證進行驗證,而非 IAM Identity Center。這適用於使用 IAM Identity Center 驗證方法的網域,而此方法可讓使用者存取網域。如果您不想使用 IAM 驗證進行遠端連線,您可以使用 IAM 政策中的 RemoteAccess 條件式金鑰停用此功能來選擇退出。如需詳細資訊,請參閱遠端存取強制執行。使用 IAM 登入資料時,即使您登出 IAM Identity Center 工作階段,Local IDE (Visual Studio Code) 連線仍可能會維持作用中的工作階段。有時候,這些 Local IDE (Visual Studio Code) 連線最多可保留 12 小時。為了確保環境的安全,管理員必須盡可能檢閱工作階段持續時間設定,並在使用共用工作站或公有網路時小心。

  1. 選擇下列其中一個符合您使用者 連線方法 的連線方法許可。

  2. 根據連線方法許可建立自訂 IAM 政策

主題

步驟 1:設定安全性和許可

重要

使用 的廣泛許可sagemaker:StartSession,特別是使用萬用字元資源*時,具有此許可的任何使用者可以針對帳戶中的任何 SageMaker Space 應用程式啟動工作階段。這可能會導致資料科學家意外存取其他使用者的 SageMaker Spaces 的影響。對於生產環境,您應該將這些許可範圍縮小為特定空間 ARN,以強制執行最低權限原則。如需使用資源 ARN、標籤和網路型限制條件的更精細許可政策範例,請參閱進階存取控制

對於從 SageMaker UI 透過深層連結連線的使用者,請使用下列許可,並將其連接至 SageMaker AI 空間執行角色網域執行角色。如果未設定空間執行角色,預設會使用網域執行角色。

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

方法 2:AWSToolkit 許可

對於透過AWS Toolkit for Visual Studio Code擴充功能連線的使用者,請將下列政策連接至下列其中一項:

  • 對於 IAM 驗證,請將此政策連接至 IAM 使用者或角色

  • 對於 IdC 驗證,請將此政策連接至 IdC 管理的許可集

若要僅顯示與已驗證使用者相關的空格,請參閱 篩選概觀

重要

以下使用 * 做為資源限制的政策僅建議用於快速測試用途。對於生產環境,您應該將這些許可範圍縮小為特定空間 ARN,以強制執行最低權限原則。如需使用資源 ARN、標籤和網路型限制條件的更精細許可政策範例,請參閱進階存取控制

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:ListApps",
                "sagemaker:DescribeApp",
                "sagemaker:DescribeDomain",
                "sagemaker:UpdateSpace",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowStartSessionOnSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}

方法 3:SSH 終端許可

對於 SSH 終端機連線, StartSession API 由以下 SSH 代理命令指令碼使用本機AWS憑證呼叫。如需設定使用者本機AWS登入AWS CLI資料的相關資訊和指示,請參閱設定 。若要使用這些許可:

  1. 將此政策連接至與本機 AWS 憑證相關聯的 IAM 使用者或角色。

  2. 如果使用具名憑證設定檔,請在 SSH 組態中修改 Proxy 命令:

    ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
    注意

    政策需要連接到本機AWS登入資料組態中使用的 IAM 身分 (使用者/角色),而不是 Amazon SageMaker AI 網域執行角色。

    JSON
    {
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "AllowStartSessionOnSpecificSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}

設定後,使用者可以執行 ssh my_studio_space_abc 來啟動空間。如需詳細資訊,請參閱方法 3:透過 SSH CLI 從終端連線

步驟 2:為您的空間啟用遠端存取

設定許可後,您必須先開啟遠端存取並在 Studio 中啟動空間,然後使用者才能使用其本機 VS Code 進行連線。此設定只需要完成一次。

注意

如果您的使用者使用 連線方法 2:AWSToolkit 許可,您不一定需要此步驟。AWS Toolkit for Visual Studio使用者可以從 Toolkit 啟用遠端存取。

為您的 Studio 空間啟用遠端存取

  1. 啟動 Amazon SageMaker Studio

  2. 開啟 Studio UI。

  3. 導覽至您的空間。

  4. 在空間詳細資訊中,開啟遠端存取

  5. 選擇執行空間