本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定遠端存取
管理員必須先設定許可,使用者才能將其遠端 IDE 連線至 Studio 空間。本節提供管理員如何使用遠端存取設定其 Amazon SageMaker AI 網域的指示。
不同的連線方法需要不同的 IAM 許可。根據您的使用者連線方式設定適當的許可。使用下列工作流程,以及與連線方法一致的許可。
**重要**
目前,遠端 IDE 連線會使用 IAM 憑證進行驗證,而非 IAM Identity Center。這適用於使用 IAM Identity Center [驗證方法](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-custom.html#onboard-custom-authentication-details)的網域,而此方法可讓使用者存取網域。如果您不想使用 IAM 驗證進行遠端連線,您可以使用 IAM 政策中的 `RemoteAccess` 條件式金鑰停用此功能來選擇退出。如需詳細資訊,請參閱[遠端存取強制執行](remote-access-remote-setup-abac.md#remote-access-remote-setup-abac-remote-access-enforcement)。使用 IAM 登入資料時,即使您登出 IAM Identity Center 工作階段,遠端 IDE 連線仍可能會維持作用中工作階段。有時候,這些遠端 IDE 連線最多可持續 12 小時。為了確保環境的安全,管理員必須盡可能檢閱工作階段持續時間設定,並在使用共用工作站或公有網路時小心。
1. 選擇下列其中一個符合您使用者 [連線方法](remote-access.md#remote-access-connection-methods) 的連線方法許可。
1. 根據連線方法許可[建立自訂 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
**Topics**
+ [步驟 1:設定安全性和許可](#remote-access-remote-setup-permissions)
+ [步驟 2:為您的空間啟用遠端存取](#remote-access-remote-setup-enable)
+ [進階存取控制](remote-access-remote-setup-abac.md)
+ [設定 Studio 以透過 VPC 內沒有網際網路存取的子網路執行](remote-access-remote-setup-vpc-subnets-without-internet-access.md)
+ [使用 AWS Toolkit 時設定自動化 Studio 空間篩選](remote-access-remote-setup-filter.md)
## 步驟 1:設定安全性和許可
**Topics**
+ [方法 1:深層連結許可](#remote-access-remote-setup-method-1-deep-link-permissions)
+ [方法 2: AWS Toolkit 許可](#remote-access-remote-setup-method-2-aws-toolkit-permissions)
+ [方法 3:SSH 終端許可](#remote-access-remote-setup-method-3-ssh-terminal-permissions)
**重要**
使用 的廣泛許可`sagemaker:StartSession`,特別是使用萬用字元資源`*`時,具有此許可的任何使用者可以針對帳戶中的任何 SageMaker Space 應用程式啟動工作階段。這可能會導致資料科學家意外存取其他使用者的 SageMaker Spaces。對於生產環境,您應該將這些許可範圍縮小為特定空間 ARN,以強制執行最低權限原則。如需使用資源 ARN、標籤和網路型限制條件的更精細許可政策範例,請參閱[進階存取控制](remote-access-remote-setup-abac.md)。
### 方法 1:深層連結許可
對於從 SageMaker UI 透過深層連結連線的使用者,請使用下列許可,並將其連接至 SageMaker AI [空間執行角色](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-space)或[網域執行角色](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role)。如果未設定空間執行角色,預設會使用網域執行角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictStartSessionOnSpacesToUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:StartSession"
],
"Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"ArnLike": {
"sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
}
}
}
]
}
```
------
### 方法 2: AWS Toolkit 許可
對於透過 AWS Toolkit for Visual Studio Code 擴充功能連線的使用者,請將下列政策連接至下列其中一項:
+ 對於 IAM 驗證,請將此政策連接至 IAM 使用者或角色
+ 對於 IdC 驗證,請將此政策連接至 IdC 管理的[許可集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)
若要僅顯示與已驗證使用者相關的空格,請參閱 [篩選概觀](remote-access-remote-setup-filter.md#remote-access-remote-setup-filter-overview)。
**重要**
以下使用 `*` 做為資源限制的政策僅建議用於快速測試用途。對於生產環境,您應該將這些許可範圍縮小為特定空間 ARN,以強制執行最低權限原則。如需使用資源 ARN、標籤和網路型限制條件的更精細許可政策範例,請參閱[進階存取控制](remote-access-remote-setup-abac.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:ListSpaces",
"sagemaker:DescribeSpace",
"sagemaker:ListApps",
"sagemaker:DescribeApp",
"sagemaker:DescribeDomain",
"sagemaker:UpdateSpace",
"sagemaker:CreateApp",
"sagemaker:DeleteApp",
"sagemaker:AddTags"
],
"Resource": "*"
},
{
"Sid": "AllowStartSessionOnSpaces",
"Effect": "Allow",
"Action": "sagemaker:StartSession",
"Resource": [
"arn:aws:sagemaker:{{us-east-1}}:{{111122223333}}:space/{{domain-id}}/{{space-name-1}}",
"arn:aws:sagemaker:{{us-east-1}}:{{111122223333}}:space/{{domain-id}}/{{space-name-2}}"
]
}
]
}
```
------
### 方法 3:SSH 終端許可
對於 SSH 終端連線, `StartSession` API 由下面的 SSH 代理命令指令碼使用本機 AWS 憑證呼叫。如需設定使用者本機 AWS 登入[AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)資料的相關資訊和指示,請參閱設定 。若要使用這些許可:
1. 將此政策連接至與本機 AWS 憑證相關聯的 IAM 使用者或角色。
1. 如果使用具名憑證設定檔,請在 SSH 組態中修改 Proxy 命令:
```
ProxyCommand '/home/user/sagemaker_connect.sh' '%h' {{YOUR_CREDENTIAL_PROFILE_NAME}}
```
**注意**
政策需要連接到本機 AWS 登入資料組態中使用的 IAM 身分 (使用者/角色),而不是 Amazon SageMaker AI 網域執行角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowStartSessionOnSpecificSpaces",
"Effect": "Allow",
"Action": "sagemaker:StartSession",
"Resource": [
"arn:aws:sagemaker:{{us-east-1}}:{{111122223333}}:space/{{domain-id}}/{{space-name-1}}",
"arn:aws:sagemaker:{{us-east-1}}:{{111122223333}}:space/{{domain-id}}/{{space-name-2}}"
]
}
]
}
```
------
設定後,使用者可以執行 `ssh my_studio_space_abc` 來啟動空間。如需詳細資訊,請參閱[方法 3:透過 SSH CLI 從終端連線](remote-access-local-ide-setup.md#remote-access-local-ide-setup-local-vs-code-method-3-connect-from-the-terminal-via-ssh-cli)。
## 步驟 2:為您的空間啟用遠端存取
設定許可後,您必須先開啟**遠端存取**並在 Studio 中啟動空間,使用者才能使用其遠端 IDE 進行連線。此設定只需要完成一次。
**注意**
如果您的使用者使用 進行連線[方法 2: AWS Toolkit 許可](#remote-access-remote-setup-method-2-aws-toolkit-permissions),您不一定需要此步驟。 AWS Toolkit for Visual Studio 使用者可以從 Toolkit 啟用遠端存取。
**為您的 Studio 空間啟用遠端存取**
1. [啟動 Amazon SageMaker Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-updated-launch.html#studio-updated-launch-console)。
1. 開啟 Studio UI。
1. 導覽至您的空間。
1. 在空間詳細資訊中,開啟**遠端存取**。
1. 選擇**執行空間**。