設定遠端存取 - Amazon SageMaker AI
步驟 1:設定安全性和許可步驟 2:為您的空間啟用遠端存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定遠端存取

管理員必須先設定許可,使用者才能將其本機 Visual Studio 程式碼連線至 Studio 空間。本節提供管理員如何使用遠端存取設定其 Amazon SageMaker AI 網域的指示。

不同的連線方法需要不同的 IAM 許可。根據您的使用者連線方式設定適當的許可。使用下列工作流程,以及與連線方法一致的許可。

  1. 選擇下列其中一個符合您使用者 的連線方法許可 連線方法

  2. 根據連線方法許可建立自訂 IAM 政策

主題

步驟 1:設定安全性和許可

對於透過 SageMaker UI 深層連結連線的使用者,請使用下列許可,並將其連接至 SageMaker AI 空間執行角色網域執行角色。如果未設定空間執行角色,預設會使用網域執行角色。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

方法 2: AWS Toolkit 許可

對於透過 AWS Toolkit for Visual Studio Code 擴充功能連線的使用者,請將下列政策連接至下列其中一項:

  • 針對 IAM 身分驗證,請將此政策連接至 IAM 使用者或角色

  • 對於 IdC 身分驗證,請將此政策連接至 IdC 管理的許可集

重要

以下使用 *做為資源限制的政策僅建議用於快速測試用途。對於生產環境,您應該將這些許可範圍縮小為特定空間 ARNs以強制執行最低權限原則。進階存取控制 如需使用資源 ARNs、標籤和網路型限制條件的更精細許可政策範例,請參閱 。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:ListApps",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:DescribeApp",
                "sagemaker:StartSession",
                "sagemaker:DescribeDomain",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        }
    ]
}

方法 3:SSH 終端機許可

對於 SSH 終端機連線,以下 SSH 代理命令指令碼會使用本機 AWS 登入資料呼叫 StartSession API。如需設定使用者本機 AWS 登入AWS CLI資料的相關資訊和指示,請參閱設定 。若要使用這些許可:

  1. 將此政策連接至與本機 AWS 登入資料相關聯的 IAM 使用者或角色。

  2. 如果使用具名憑證描述檔,請在 SSH 組態中修改代理命令:

    ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
    注意

    政策需要連接到本機 AWS 登入資料組態中使用的 IAM 身分 (使用者/角色),而不是 Amazon SageMaker AI 網域執行角色。

    重要

    以下使用 *做為資源限制的政策僅建議用於快速測試用途。對於生產環境,您應該將這些許可範圍縮小為特定空間 ARNs以強制執行最低權限原則。進階存取控制 如需使用資源 ARNs、標籤和網路型限制條件的更精細許可政策範例,請參閱 。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": "*"
        }
    ]
}

設定之後,使用者可以執行 ssh my_studio_space_abc來啟動空間。如需詳細資訊,請參閱方法 3:透過 SSH CLI 從終端機連線

步驟 2:為您的空間啟用遠端存取

設定許可後,您必須先開啟遠端存取並在 Studio 中啟動空間,使用者才能使用其本機 VS 程式碼進行連線。此設定只需要完成一次。

注意

如果您的使用者使用 連線方法 2: AWS Toolkit 許可,您不一定需要此步驟。 AWS Toolkit for Visual Studio 使用者可以從 Toolkit 啟用遠端存取。

為您的 Studio 空間啟用遠端存取

  1. 啟動 Amazon SageMaker Studio

  2. 開啟 Studio UI。

  3. 導覽至您的空間。

  4. 在空間詳細資訊中,開啟遠端存取

  5. 選擇執行空間