Etapa 1: configurar a segurança e as permissões Etapa 2: ativar o acesso remoto ao seu espaço

Configurar o acesso remoto

Antes que os usuários possam conectar seu Visual Studio Code local aos espaços do Studio, o administrador deve configurar as permissões. Esta seção fornece instruções para administradores sobre como configurar seu domínio Amazon SageMaker AI com acesso remoto.

Métodos de conexão diferentes exigem permissões diferentes do IAM. Configure as permissões apropriadas com base em como seus usuários se conectarão. Use o fluxo de trabalho a seguir junto com as permissões alinhadas com o método de conexão.

Escolha uma das seguintes permissões de método de conexão que se alinhe às de seus usuários Métodos de conexão
Crie uma política personalizada do IAM com base na permissão do método de conexão

Tópicos

Etapa 1: configurar a segurança e as permissões

Tópicos

Método 1: permissões de links diretos
Método 2: permissões do AWS kit de ferramentas
Método 3: permissões do terminal SSH

Método 1: permissões de links diretos

Para usuários que se conectam por meio de links diretos da SageMaker interface do usuário, use a permissão a seguir e anexe-a à sua função de execução do espaço de SageMaker IA ou à sua função de execução de domínio. Se a função de execução de espaço não estiver configurada, a função de execução de domínio será usada por padrão.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

Método 2: permissões do AWS kit de ferramentas

Para usuários que se conectam por meio da AWS Toolkit for Visual Studio Code extensão, anexe a seguinte política a uma das seguintes:

Para autenticação do IAM, anexe essa política ao usuário ou função do IAM
Para autenticação do iDC, anexe essa política aos conjuntos de permissões gerenciados pelo iDC

Importante

A política a seguir usada * como restrição de recursos só é recomendada para fins de teste rápido. Para ambientes de produção, você deve limitar essas permissões a um espaço específico ARNs para aplicar o princípio do menor privilégio. Veja exemplos Controle de acesso avançado de políticas de permissão mais granulares usando recursos ARNs, tags e restrições baseadas em rede.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:ListApps",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:DescribeApp",
                "sagemaker:StartSession",
                "sagemaker:DescribeDomain",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        }
    ]
}

Método 3: permissões do terminal SSH

Para conexões de terminal SSH, a StartSession API é chamada pelo script de comando do proxy SSH abaixo, usando as credenciais locais AWS . Consulte Configurar o AWS CLI para obter informações e instruções sobre como configurar as AWS credenciais locais dos usuários. Para usar essas permissões:

Anexe essa política ao usuário ou à função do IAM associada às AWS credenciais locais.
Se estiver usando um perfil de credencial nomeado, modifique o comando proxy na sua configuração SSH:
```
ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
```
nota
A política precisa ser anexada à identidade do IAM (usuário/função) usada em sua configuração de AWS credenciais locais, não à função de execução do domínio Amazon SageMaker AI.

Importante
A política a seguir usada * como restrição de recursos só é recomendada para fins de teste rápido. Para ambientes de produção, você deve limitar essas permissões a um espaço específico ARNs para aplicar o princípio do menor privilégio. Veja exemplos Controle de acesso avançado de políticas de permissão mais granulares usando recursos ARNs, tags e restrições baseadas em rede.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": "*"
        }
    ]
}
```

Após a configuração, os usuários podem correr ssh my_studio_space_abc para iniciar o espaço. Para obter mais informações, consulte Método 3: Conecte-se a partir do terminal via SSH CLI.

Etapa 2: ativar o acesso remoto ao seu espaço

Depois de configurar as permissões, você deve ativar o Acesso Remoto e iniciar seu espaço no Studio antes que o usuário possa se conectar usando o VS Code local. Essa configuração só precisa ser feita uma vez.

nota

Se seus usuários estão se conectando usandoMétodo 2: permissões do AWS kit de ferramentas, você não precisa necessariamente dessa etapa. AWS Toolkit for Visual Studio os usuários podem habilitar o acesso remoto a partir do Toolkit.

Ative o acesso remoto ao seu espaço de estúdio

Inicie o Amazon SageMaker Studio.
Abra a interface do usuário do Studio.
Navegue até o seu espaço.
Nos detalhes do espaço, ative o Acesso remoto.
Escolha Executar espaço.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Acesso remoto

Controle de acesso avançado