Einrichten des Remotezugriffs
Bevor Benutzer ihren lokalen Visual-Studio-Code mit Studio-Bereichen verbinden können, muss der Administrator Berechtigungen konfigurieren. Dieser Abschnitt enthält Anweisungen für Administratoren zur Einrichtung ihrer Domain von Amazon SageMaker AI mit Remotezugriff.
Verschiedene Verbindungsmethoden erfordern unterschiedliche IAM-Berechtigungen. Konfigurieren Sie die entsprechenden Berechtigungen – je nachdem, wie Ihre Benutzer eine Verbindung herstellen werden. Verwenden Sie den folgenden Workflow zusammen mit den Berechtigungen, die auf die Verbindungsmethode abgestimmt sind.
Wichtig
Derzeit werden IDE-Remoteverbindungen mit IAM-Anmeldeinformationen authentifiziert, nicht mit IAM Identity Center. Dies gilt für Domains, die die Authentifizierungsmethode IAM Identity Center verwenden, damit Ihre Benutzer auf die Domain zugreifen. Wenn Sie die IAM-Authentifizierung für Remoteverbindungen lieber nicht verwenden, können Sie sich abmelden, indem Sie diese Funktion mithilfe des bedingten RemoteAccess-Schlüssels in Ihren IAM-Richtlinien deaktivieren. Weitere Informationen finden Sie unter Durchsetzung des Remotezugriffs.
-
Wählen Sie eine der folgenden Berechtigungen für Verbindungsmethoden aus, die auf die Verbindungsmethoden Ihrer Benutzer abgestimmt sind.
-
Erstellen Sie eine benutzerdefinierte IAM-Richtlinie auf der Grundlage der Verbindungsmethodenberechtigung.
Themen
Schritt 1: Konfigurieren von Sicherheit und Berechtigungen
Themen
Methode 1: Deep-Link-Berechtigungen
Für Benutzer, die über Deep Links aus der SageMaker-Benutzeroberfläche eine Verbindung herstellen, verwenden Sie die folgende Berechtigung und fügen Sie sie Ihrer Bereichsausführungsrolle oder Domainausführungsrolle von SageMaker AI hinzu. Wenn die Bereichsausführungsrolle nicht konfiguriert ist, wird standardmäßig die Domainausführungsrolle verwendet.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictStartSessionOnSpacesToUserProfile", "Effect": "Allow", "Action": [ "sagemaker:StartSession" ], "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "ArnLike": { "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" } } } ] }
Methode 2: AWS-Toolkit-Berechtigungen
Fügen Sie für Benutzer, die eine Verbindung über die AWS Toolkit for Visual Studio Code-Erweiterung herstellen, zu einer der folgenden Optionen hinzu:
-
Fügen Sie für die IAM-Authentifizierung diese Richtlinie dem IAM-Benutzer oder der IAM-Rolle an.
-
Fügen Sie für die IdC-Authentifizierung diese Richtlinie den vom IdC verwalteten Berechtigungssätzen hinzu.
Wichtig
Die folgende Richtlinie, die * als Ressourcenbeschränkung verwendet, wird nur für schnelle Testzwecke empfohlen. In Produktionsumgebungen sollten Sie diese Berechtigungen auf bestimmte Bereichs-ARNs beschränken, um das Prinzip der geringsten Berechtigung durchzusetzen. Beispiele für detailliertere Berechtigungsrichtlinien unter Verwendung von Ressourcen-ARNs, Tags und netzwerkbasierten Einschränkungen finden Sie unter Erweiterte Zugriffssteuerung.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:ListSpaces", "sagemaker:DescribeSpace", "sagemaker:UpdateSpace", "sagemaker:ListApps", "sagemaker:CreateApp", "sagemaker:DeleteApp", "sagemaker:DescribeApp", "sagemaker:StartSession", "sagemaker:DescribeDomain", "sagemaker:AddTags" ], "Resource": "*" } ] }
Methode 3: SSH-Terminalberechtigungen
Für SSH-Terminalverbindungen wird die StartSession-API mit dem unten stehenden SSH-Proxy-Befehlsskript unter Verwendung der lokalen AWS-Anmeldeinformationen aufgerufen. Informationen und Anweisungen zum Einrichten der lokalen AWS-Anmeldeinformationen der Benutzer finden Sie unter Konfigurieren der AWS CLI. So nutzen Sie diese Berechtigungen:
-
Fügen Sie diese Richtlinie dem IAM-Benutzer oder der Rolle zu, die den lokalen AWS-Anmeldeinformationen zugeordnet ist.
-
Wenn Sie ein benanntes Anmeldeinformationsprofil verwenden, ändern Sie den Proxy-Befehl in Ihrer SSH-Konfiguration:
ProxyCommand '/home/user/sagemaker_connect.sh' '%h'YOUR_CREDENTIAL_PROFILE_NAMEAnmerkung
Die Richtlinie muss an die IAM-Identität (Benutzer/Rolle) angehängt werden, die in Ihrer lokalen AWS-Anmeldeinformationskonfiguration verwendet wird, nicht an die Domainausführungsrolle von Amazon SageMaker AI.
Wichtig
Die folgende Richtlinie, die
*als Ressourcenbeschränkung verwendet, wird nur für schnelle Testzwecke empfohlen. In Produktionsumgebungen sollten Sie diese Berechtigungen auf bestimmte Bereichs-ARNs beschränken, um das Prinzip der geringsten Berechtigung durchzusetzen. Beispiele für detailliertere Berechtigungsrichtlinien unter Verwendung von Ressourcen-ARNs, Tags und netzwerkbasierten Einschränkungen finden Sie unter Erweiterte Zugriffssteuerung.{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "sagemaker:StartSession", "Resource": "*" } ] }
Nach der Einrichtung können Benutzer ssh my_studio_space_abc ausführen, um den Bereich zu starten. Weitere Informationen finden Sie unter Methode 3: Herstellen einer Verbindung vom Terminal über SSH-CLI.
Schritt 2: Aktivieren des Remotezugriffs für Ihren Bereich
Nachdem Sie die Berechtigungen eingerichtet haben, müssen Sie den Remotezugriff aktivieren und Ihren Bereich in Studio starten, bevor der Benutzer mit seinem lokalen VS-Code eine Verbindung herstellen kann. Diese Einrichtung muss nur einmal durchgeführt werden.
Anmerkung
Wenn Ihre Benutzer eine Verbindung mithilfe von Methode 2: AWS-Toolkit-Berechtigungen herstellen, benötigen Sie diesen Schritt nicht unbedingt. AWS Toolkit for Visual Studio-Benutzer können den Remotezugriff über das Toolkit aktivieren.
Aktivieren des Remotezugriffs für Ihren Studio-Bereich
-
Öffnen Sie die Studio-Benutzeroberfläche.
-
Navigieren Sie zu Ihrem Bereich.
-
Wechseln Sie in den Bereichsdetails zur Option Remotezugriff.
-
Wählen Sie Bereich ausführen aus.
