Configuración del acceso remoto
Antes de que los usuarios puedan conectar su Visual Studio Code local a los espacios de Studio, el administrador debe configurar los permisos. En esta sección se proporcionan instrucciones para los administradores sobre cómo configurar su dominio de Amazon SageMaker AI con acceso remoto.
Los distintos métodos de conexión requieren distintos permisos de IAM. Configure los permisos adecuados en función de cómo se conectarán los usuarios. Utilice el siguiente flujo de trabajo junto con los permisos correspondientes al método de conexión.
importante
Actualmente, las conexiones IDE remotas se autentican con credenciales de IAM, no con de IAM Identity Center. Esto afecta a los dominios que utilizan el método de autenticación de IAM Identity Center para que los usuarios accedan al dominio. Si prefiere no utilizar la autenticación de IAM para las conexiones remotas, puede desactivar esta característica con la clave condicional RemoteAccess de sus políticas de IAM. Para obtener más información, consulte Aplicación del acceso remoto.
-
Elija uno de los siguientes permisos de método de conexión que se ajuste a los Métodos de conexión de sus usuarios.
-
Cree una política de IAM personalizada basada en el permiso del método de conexión.
Temas
Paso 1: configuración de la seguridad y los permisos
Temas
Método 1: permisos de enlace profundo
Para los usuarios que se conecten a través de enlaces profundos desde la interfaz de usuario de SageMaker, utilice el siguiente permiso y asócielo a su rol de ejecución de espacio o a su rol de ejecución de dominio de SageMaker AI. Si el rol de ejecución del espacio no está configurado, se utiliza el rol de ejecución del dominio de forma predeterminada.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictStartSessionOnSpacesToUserProfile", "Effect": "Allow", "Action": [ "sagemaker:StartSession" ], "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "ArnLike": { "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" } } } ] }
Método 2: permisos del Kit de herramientas de AWS
Para los usuarios que se conectan a través de la extensión AWS Toolkit for Visual Studio Code, asocie la siguiente política a una de las siguientes opciones:
-
Para la autenticación de IAM, asocie esta política al rol o usuario de IAM.
-
Para la autenticación de IdC, asocie esta política a los conjuntos de permisos administrados por el IdC.
importante
La siguiente política, que utiliza * como restricción de recursos, solo se recomienda para realizar pruebas rápidas. En el caso de los entornos de producción, debe limitar estos permisos a los ARN de un espacio específico para aplicar el principio del privilegio mínimo. Consulte Control de acceso avanzado para ver algunos ejemplos de políticas de permisos más detalladas que utilizan los ARN de los recursos, las etiquetas y las restricciones basadas en la red.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:ListSpaces", "sagemaker:DescribeSpace", "sagemaker:UpdateSpace", "sagemaker:ListApps", "sagemaker:CreateApp", "sagemaker:DeleteApp", "sagemaker:DescribeApp", "sagemaker:StartSession", "sagemaker:DescribeDomain", "sagemaker:AddTags" ], "Resource": "*" } ] }
Método 3: permisos de terminal SSH
Para las conexiones de terminal SSH, el siguiente script de comandos del proxy SSH llama a la API StartSession con las credenciales locales de AWS. Consulte Configuración de los ajustes de AWS CLI para obtener información e instrucciones sobre cómo configurar las credenciales locales de AWS de los usuarios. Para utilizar estos permisos:
-
Asocie esta política al rol o usuario de IAM asociado a las credenciales de AWS locales.
-
Si utiliza un perfil de credenciales con nombre, modifique el comando proxy en su configuración de SSH:
ProxyCommand '/home/user/sagemaker_connect.sh' '%h'YOUR_CREDENTIAL_PROFILE_NAMEnota
La política debe asociarse a la identidad de IAM (usuario/rol) utilizada en su configuración local de credenciales de AWS, no al rol de ejecución del dominio de Amazon SageMaker AI.
importante
La siguiente política, que utiliza
*como restricción de recursos, solo se recomienda para realizar pruebas rápidas. En el caso de los entornos de producción, debe limitar estos permisos a los ARN de un espacio específico para aplicar el principio del privilegio mínimo. Consulte Control de acceso avanzado para ver algunos ejemplos de políticas de permisos más detalladas que utilizan los ARN de los recursos, las etiquetas y las restricciones basadas en la red.{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "sagemaker:StartSession", "Resource": "*" } ] }
Tras la configuración, los usuarios pueden ejecutar ssh my_studio_space_abc para iniciar el espacio. Para obtener más información, consulte Método 3: conectarse desde el terminal a través de la CLI de SSH.
Paso 2: activación del acceso remoto en su espacio
Tras configurar los permisos, debe activar el Acceso remoto e iniciar su espacio en Studio para que el usuario pueda conectarse mediante su Visual Studio Code local. Solo tiene que configurarlo una vez.
nota
Si sus usuarios se conectan mediante Método 2: permisos del Kit de herramientas de AWS, no es necesario que realice este paso. Los usuarios de AWS Toolkit for Visual Studio pueden habilitar el acceso remoto desde el kit de herramientas.
Activación del acceso remoto en su espacio de Studio
-
Abra la interfaz de usuario de Studio.
-
Vaya a su espacio.
-
En los detalles del espacio, active el Acceso remoto.
-
Seleccione Ejecutar espacio.
