Configuration de l’accès à distance
Pour que les utilisateurs puissent connecter leur environnement Visual Studio Code local aux espaces Studio, l’administrateur doit configurer des autorisations. Cette section fournit des instructions aux administrateurs sur la façon de configurer leur domaine Amazon SageMaker AI avec un accès à distance.
Les différentes méthodes de connexion nécessitent des autorisations IAM différentes. Configurez les autorisations appropriées en fonction de la manière dont vos utilisateurs se connecteront. Utilisez le flux de travail suivant avec les autorisations correspondant à la méthode de connexion.
Important
Actuellement, les connexions IDE distantes sont authentifiées à l’aide des informations d’identification IAM, et non d’IAM Identity Center. Cela s’applique aux domaines qui utilisent la méthode d’authentification IAM Identity Center pour que vos utilisateurs puissent y accéder. Si vous préférez ne pas utiliser l’authentification IAM pour les connexions à distance, vous pouvez vous désinscrire en désactivant cette fonctionnalité à l’aide de la clé conditionnelle RemoteAccess dans vos politiques IAM. Pour plus d’informations, consultez Application de l’accès à distance.
-
Choisissez l’une des autorisations de méthode de connexion suivantes correspondant aux Méthodes de connexion de vos utilisateurs.
-
Créez une politique IAM personnalisée en fonction de l’autorisation de la méthode de connexion.
Rubriques
Étape 1 : Configuration de la sécurité et des autorisations
Rubriques
Méthode 1 : autorisations relatives aux liens profonds
Pour les utilisateurs qui se connectent via des liens profonds à partir de l’interface utilisateur de SageMaker, utilisez l’autorisation suivante et associez-la à votre rôle d’exécution d’espace ou rôle d’exécution de domaine SageMaker AI. Si le rôle d’exécution d’espace n’est pas configuré, le rôle d’exécution de domaine est utilisé par défaut.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictStartSessionOnSpacesToUserProfile", "Effect": "Allow", "Action": [ "sagemaker:StartSession" ], "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "ArnLike": { "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" } } } ] }
Méthode 2 : autorisations d’AWS Toolkit
Pour les utilisateurs qui se connectent via l’extension AWS Toolkit for Visual Studio Code, attachez la politique suivante à l’un des éléments suivants :
-
Pour l’authentification IAM, attachez cette politique à l’utilisateur ou au rôle IAM.
-
Pour l’authentification IdC, attachez cette politique aux jeux d’autorisations gérés par l’IdC.
Important
La politique suivante, qui utilise * comme contrainte de ressource, n’est recommandée qu’à des fins de test rapide. Pour les environnements de production, vous devez limiter ces autorisations à des ARN d’espace spécifiques afin de faire appliquer le principe du moindre privilège. Consultez Contrôle d’accès avancé pour obtenir des exemples de politiques d’autorisation plus détaillées utilisant des ARN de ressources, des balises et des contraintes basées sur le réseau.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:ListSpaces", "sagemaker:DescribeSpace", "sagemaker:UpdateSpace", "sagemaker:ListApps", "sagemaker:CreateApp", "sagemaker:DeleteApp", "sagemaker:DescribeApp", "sagemaker:StartSession", "sagemaker:DescribeDomain", "sagemaker:AddTags" ], "Resource": "*" } ] }
Méthode 3 : autorisations du terminal SSH
Pour les connexions au terminal SSH, l’API StartSession est appelée par le script de commande proxy SSH ci-dessous, en utilisant les informations d’identification AWS locales. Consultez Configuration de l’AWS CLI pour obtenir des informations et des instructions sur la configuration des informations d’identification AWS locales des utilisateurs. Pour utiliser ces autorisations :
-
Attachez cette politique à l’utilisateur ou au rôle IAM associé aux informations d’identification AWS locales.
-
Si vous utilisez un profil d’informations d’identification nommé, modifiez la commande proxy dans votre configuration SSH :
ProxyCommand '/home/user/sagemaker_connect.sh' '%h'YOUR_CREDENTIAL_PROFILE_NAMENote
La politique doit être attachée à l’identité IAM (utilisateur/rôle) utilisée dans la configuration de vos informations d’identification AWS locales, et non au rôle d’exécution de domaine Amazon SageMaker AI.
Important
La politique suivante, qui utilise
*comme contrainte de ressource, n’est recommandée qu’à des fins de test rapide. Pour les environnements de production, vous devez limiter ces autorisations à des ARN d’espace spécifiques afin de faire appliquer le principe du moindre privilège. Consultez Contrôle d’accès avancé pour obtenir des exemples de politiques d’autorisation plus détaillées utilisant des ARN de ressources, des balises et des contraintes basées sur le réseau.{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "sagemaker:StartSession", "Resource": "*" } ] }
Après la configuration, les utilisateurs peuvent exécuter ssh my_studio_space_abc pour démarrer l’espace. Pour plus d’informations, consultez Méthode 3 : Connexion depuis le terminal via la CLI SSH.
Étape 2 : Activation de l’accès à distance de votre espace
Après avoir configuré les autorisations, vous devez activer Accès à distance et créer votre espace dans Studio avant que l’utilisateur puisse se connecter à l’aide de son code VS local. Cette configuration ne doit être effectuée qu’une seule fois.
Note
Si vos utilisateurs se connectent en utilisant Méthode 2 : autorisations d’AWS Toolkit, vous n’avez pas nécessairement besoin de cette étape. Les utilisateurs d’AWS Toolkit for Visual Studio peuvent activer l’accès à distance depuis le kit d’outils.
Activation de l’accès à distance à votre espace Studio
-
Ouvrez l’interface utilisateur de Studio.
-
Accédez à votre espace.
-
Dans les détails de l’espace, activez Accès à distance.
-
Choisissez Exécuter Space.
