设置远程访问 - 亚马逊 SageMaker AI
配置安全性和权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置远程访问

在用户将其本地 Visual Studio Code 连接到 Studio 空间之前,管理员必须配置权限。本节为管理员提供有关如何设置具有远程访问权限的 Amazon SageMaker AI 域的说明。

不同的连接方法需要不同的 IAM 权限。根据用户的连接方式配置相应的权限。使用以下工作流程以及与连接方法一致的权限。

  1. 选择以下与您的用户一致的连接方法权限之一 连接方法

  2. 根据连接方法权限@@ 创建自定义 IAM 策略

配置安全性和权限

对于通过 SageMaker AI UI 的深度链接进行连接的用户,请使用以下权限并将其附加到您的 SageMaker AI 空间执行角色域执行角色。如果未配置空间执行角色,则默认使用域执行角色。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictStartSessionOnSpacesToUserProfile",
            "Effect": "Allow",
            "Action": [
                "sagemaker:StartSession"
            ],
            "Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
            "Condition": {
                "ArnLike": {
                    "sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
                }
            }
        }
    ]
}

方法 2: Amazon 工具包权限

对于通过 Amazon Toolkit for Visual Studio Code 扩展程序连接的用户,请将以下策略附加到以下策略之一:

  • 对于 IAM 身份验证,请将此策略附加到 IAM 用户或角色。

  • 对于 IdC 身份验证,请将此策略附加到 IdC 管理的权限集

重要

仅出于快速测试目的,才建议使用以下策略*作为资源约束。对于生产环境,应将这些权限范围缩小到特定空间 ARNs ,以强制执行最低权限原则。高级访问控制有关使用资源 ARNs、标签和基于网络的限制的更精细权限策略的示例,请参阅。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListSpaces",
                "sagemaker:DescribeSpace",
                "sagemaker:UpdateSpace",
                "sagemaker:ListApps",
                "sagemaker:CreateApp",
                "sagemaker:DeleteApp",
                "sagemaker:DescribeApp",
                "sagemaker:StartSession",
                "sagemaker:DescribeDomain",
                "sagemaker:AddTags"
            ],
            "Resource": "*"
        }
    ]
}

方法 3:SSH 终端权限

对于 SSH 终端连接, StartSession API 由下面的 SSH 代理命令脚本使用本地 Amazon 凭据调用。 Amazon CLI有关设置用户本地 Amazon 凭证的信息和说明,请参阅配置。要使用这些权限,请执行以下操作:

  1. 将此策略附加到与本地 Amazon 证书关联的 IAM 用户或角色。

  2. 如果使用命名的凭据配置文件,请修改 SSH 配置中的代理命令:

ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
注意

该策略需要附加到您的本地 Amazon 证书配置中使用的 IAM 身份(用户/角色),而不是附加到 Amazon A SageMaker I 域执行角色。

重要

仅出于快速测试目的,才建议使用以下策略*作为资源约束。对于生产环境,应将这些权限范围缩小到特定空间 ARNs ,以强制执行最低权限原则。高级访问控制有关使用资源 ARNs、标签和基于网络的限制的更精细权限策略的示例,请参阅。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sagemaker:StartSession",
            "Resource": "*"
        }
    ]
}

设置完成后,用户ssh my_studio_space_abc可以运行启动空间。有关更多信息,请参阅 方法 3:通过 SSH CLI 从终端连接

主题