Configurazione dell’accesso remoto - Amazon SageMaker AI
Fase 1. Configura la sicurezza e le autorizzazioniFase 2. Abilita l’accesso remoto al tuo spazio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dell’accesso remoto

Prima di connettere l’istanza locale Visual Studio Code agli spazi Studio, l’amministratore deve configurare le autorizzazioni per gli utenti. Questa sezione fornisce istruzioni per gli amministratori su come configurare il proprio dominio Amazon SageMaker AI con accesso remoto.

I diversi metodi di connessione richiedono autorizzazioni IAM specifiche. Configura le autorizzazioni appropriate a seconda del tipo di connessione utilizzato dagli utenti. Utilizza il flusso di lavoro seguente insieme alle autorizzazioni specifiche per il metodo di connessione.

Importante

Attualmente le connessioni remote agli IDE non vengono autenticate con il Centro identità IAM, ma con le credenziali IAM. Questo vale per i domini che utilizzano il metodo di autenticazione del Centro identità IAM per concedere agli utenti l’accesso al dominio. Se preferisci non utilizzare l’autenticazione IAM per le connessioni remote, puoi scegliere di non aderire disabilitando questa funzionalità con la chiave condizionale RemoteAccess nelle policy IAM. Per ulteriori informazioni, consulta Applicazione dell’accesso remoto. Quando si utilizzano le credenziali IAM, la connessione IDE locale (Visual Studio Code) può mantenere le sessioni attive anche dopo la disconnessione dalla sessione di IAM Identity Center. A volte, queste connessioni IDE locali (Visual Studio Code) possono persistere fino a 12 ore. Per garantire la sicurezza dell'ambiente, gli amministratori devono rivedere le impostazioni sulla durata delle sessioni, ove possibile, e prestare attenzione quando utilizzano workstation condivise o reti pubbliche.

  1. Scegli una delle autorizzazioni seguenti in base ai diversi metodi di connessione degli utenti descritti in Metodi di connessione.

  2. Crea una policy IAM personalizzata basata sull’autorizzazione per il metodo di connessione.

Argomenti

Fase 1. Configura la sicurezza e le autorizzazioni

Importante

L'utilizzo di autorizzazioni ampie persagemaker:StartSession, in particolare con una risorsa wildcard, * comporta il rischio che qualsiasi utente con questa autorizzazione possa avviare una sessione con qualsiasi SageMaker app Space dell'account. Ciò può causare l'accesso involontario degli scienziati dei dati agli Spazi di altri utenti. SageMaker Per gli ambienti di produzione, è necessario limitare queste autorizzazioni a uno spazio specifico per ARNs applicare il principio del privilegio minimo. Vedi esempi Controllo degli accessi avanzato di politiche di autorizzazione più granulari che utilizzano risorse ARNs, tag e vincoli basati sulla rete.

Per gli utenti che si connettono tramite deep link dall' SageMaker interfaccia utente, utilizza la seguente autorizzazione e collegala al ruolo di esecuzione dello spazio SageMaker AI o al ruolo di esecuzione del dominio. Se il ruolo di esecuzione dello spazio non è configurato, per impostazione predefinita viene utilizzato il ruolo di esecuzione del dominio.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

Metodo 2: autorizzazioni AWS Toolkit

Per gli utenti che si connettono tramite l'AWS Toolkit for Visual Studio Codeestensione, allega la seguente politica a una delle seguenti:

  • Per l’autenticazione IAM, collega questa policy all’utente o al ruolo IAM.

  • Per l’autenticazione IdC, collega questa policy ai set di autorizzazioni gestiti dall’IdC.

Per mostrare solo gli spazi relativi all'utente autenticato, consultaPanoramica sulla funzionalità di filtraggio.

Importante

Questa policy, che utilizza * come vincolo delle risorse, è consigliata solo per l’esecuzione di test rapidi. Per gli ambienti di produzione, è necessario limitare queste autorizzazioni a uno spazio specifico ARNs per applicare il principio del privilegio minimo. Vedi esempi Controllo degli accessi avanzato di politiche di autorizzazione più granulari che utilizzano risorse ARNs, tag e vincoli basati sulla rete.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:ListApps",
                "sagemaker:DescribeApp",
                "sagemaker:DescribeDomain",
                "sagemaker:UpdateSpace",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowStartSessionOnSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}

Metodo 3: autorizzazioni del terminale SSH

Per le connessioni terminali SSH, l'StartSessionAPI viene richiamata dallo script di comando del proxy SSH riportato di seguito, utilizzando le credenziali locali. AWS AWS CLIPer informazioni e istruzioni sulla configurazione delle credenziali locali dell'utente, consulta Configure the. AWS Per utilizzare queste autorizzazioni:

  1. Collega questa policy all’utente o al ruolo IAM associato alle credenziali AWS locali.

  2. Se utilizzi un profilo di credenziali denominato, modifica il comando proxy nella configurazione SSH:

    ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
    Nota

    La policy deve essere collegata all'identità IAM (utente/ruolo) utilizzata nella configurazione delle AWS credenziali locali, non al ruolo di esecuzione del dominio Amazon SageMaker AI.

    JSON
    {
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "AllowStartSessionOnSpecificSpaces",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": [
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
                "arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
            ]
        }
    ]
}

Dopo la configurazione, gli utenti possono eseguire ssh my_studio_space_abc per avviare lo spazio. Per ulteriori informazioni, consulta Metodo 3: connettersi dal terminale tramite la CLI SSH.

Fase 2. Abilita l’accesso remoto al tuo spazio

Dopo aver impostato le autorizzazioni, devi attivare l’opzione Accesso remoto e avviare lo spazio in Studio prima che l’utente possa connettersi utilizzando la propria istanza locale VS Code. Questa configurazione deve essere eseguita solo una volta.

Nota

Se i tuoi utenti si connettono tramiteMetodo 2: autorizzazioni AWS Toolkit, questo passaggio non è necessariamente necessario. AWS Toolkit for Visual Studiogli utenti possono abilitare l'accesso remoto dal Toolkit.

Attivazione dell’accesso remoto per lo spazio Studio

  1. Avvia Amazon SageMaker Studio.

  2. Apri l’interfaccia utente di Studio.

  3. Vai al tuo spazio.

  4. Nei dettagli dello spazio, attiva l’opzione Accesso remoto.

  5. Scegli Esegui lo spazio.