设置远程访问

在用户将其本地 Visual Studio Code 连接到 Studio 空间之前，管理员必须配置权限。本节为管理员提供有关如何设置具有远程访问权限的 Amazon SageMaker AI 域的说明。

不同的连接方法需要不同的 IAM 权限。根据用户的连接方式配置相应的权限。使用以下工作流程以及与连接方法一致的权限。

1. 选择以下与用户一致的连接方法权限之一 连接方法

2. 根据连接方法权限@@ 创建自定义 IAM 策略

主题

• 步骤 1：配置安全性和权限

• 第 2 步：为您的空间启用远程访问功能

• 高级访问控制

• 将 Studio 设置为在 VPC 内运行无需访问互联网的子网

• 使用 AWS 工具包时设置自动筛选工作室空间

步骤 1：配置安全性和权限

方法 1：深度链接权限

对于通过用户 SageMaker 界面深度链接进行连接的用户，请使用以下权限并将其附加到您的 SageMaker AI 空间执行角色或域执行角色。如果未配置空间执行角色，则默认使用域执行角色。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

方法 2： AWS 工具包权限

对于通过 AWS Toolkit for Visual Studio Code 扩展程序连接的用户，请将以下策略附加到以下策略之一：

• 对于 IAM 身份验证，请将此策略附加到 IAM 用户或角色

• 对于 IdC 身份验证，请将此策略附加到 IdC 管理的权限集

重要

仅出于快速测试目的，才建议使用以下策略*作为资源约束。对于生产环境，应将这些权限范围缩小到特定的空间 ARNs ，以强制执行最小权限原则。高级访问控制有关使用资源 ARNs、标签和基于网络的限制的更精细权限策略的示例，请参阅。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:ListApps",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:DescribeApp",
                "sagemaker:StartSession",
                "sagemaker:DescribeDomain",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        }
    ]
}

方法 3：SSH 终端权限

对于 SSH 终端连接， StartSession API 由下面的 SSH 代理命令脚本使用本地 AWS 凭据调用。 AWS CLI有关设置用户本地 AWS 凭证的信息和说明，请参阅配置。要使用这些权限，请执行以下操作：

1. 将此策略附加到与本地 AWS 证书关联的 IAM 用户或角色。

2. 如果使用命名的凭据配置文件，请修改 SSH 配置中的代理命令：

   ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME

   注意

   该策略需要附加到您的本地 AWS 证书配置中使用的 IAM 身份（用户/角色），而不是附加到 Amazon A SageMaker I 域执行角色。

   重要

   仅出于快速测试目的，才建议使用以下策略*作为资源约束。对于生产环境，应将这些权限范围缩小到特定的空间 ARNs ，以强制执行最小权限原则。高级访问控制有关使用资源 ARNs、标签和基于网络的限制的更精细权限策略的示例，请参阅。

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "VisualEditor0",
               "Effect": "Allow",
               "Action": "sagemaker:StartSession",
               "Resource": "*"
           }
       ]
   }

设置完成后，用户ssh my_studio_space_abc可以运行启动空间。有关更多信息，请参阅 方法 3：通过 SSH CLI 从终端连接。

第 2 步：为您的空间启用远程访问功能

设置权限后，必须开启远程访问并在 Studio 中启动空间，然后用户才能使用本地 VS Code 进行连接。此设置只需要完成一次。

注意

如果您的用户使用连接方法 2： AWS 工具包权限，则不一定需要执行此步骤。 AWS Toolkit for Visual Studio 用户可以从 Toolkit 启用远程访问。

激活工作室空间的远程访问权限

1. 启动 Amazon SageMaker Studio。

2. 打开工作室用户界面。

3. 导航到您的空间。

4. 在空间详细信息中，打开 “远程访问”。

5. 选择运行空间。