Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Einrichten des Remotezugriffs
Bevor Benutzer ihre Remote-IDE mit Studio Spaces verbinden können, muss der Administrator Berechtigungen konfigurieren. Dieser Abschnitt enthält Anweisungen für Administratoren zur Einrichtung ihrer Amazon SageMaker AI-Domain mit Fernzugriff.
Verschiedene Verbindungsmethoden erfordern unterschiedliche IAM-Berechtigungen. Konfigurieren Sie die entsprechenden Berechtigungen – je nachdem, wie Ihre Benutzer eine Verbindung herstellen werden. Verwenden Sie den folgenden Workflow zusammen mit den Berechtigungen, die auf die Verbindungsmethode abgestimmt sind.
**Wichtig**
Derzeit werden IDE-Remoteverbindungen mit IAM-Anmeldeinformationen authentifiziert, nicht mit IAM Identity Center. Dies gilt für Domains, die die [Authentifizierungsmethode](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-custom.html#onboard-custom-authentication-details) IAM Identity Center verwenden, damit Ihre Benutzer auf die Domain zugreifen. Wenn Sie die IAM-Authentifizierung für Remoteverbindungen lieber nicht verwenden, können Sie sich abmelden, indem Sie diese Funktion mithilfe des bedingten `RemoteAccess`-Schlüssels in Ihren IAM-Richtlinien deaktivieren. Weitere Informationen finden Sie unter [Durchsetzung des Remotezugriffs](remote-access-remote-setup-abac.md#remote-access-remote-setup-abac-remote-access-enforcement). Wenn Sie IAM-Anmeldeinformationen verwenden, können Remote-IDE-Verbindungen aktive Sitzungen aufrechterhalten, auch wenn Sie sich von Ihrer IAM Identity Center-Sitzung abmelden. Manchmal können diese Remote-IDE-Verbindungen bis zu 12 Stunden bestehen bleiben. Um die Sicherheit Ihrer Umgebung zu gewährleisten, müssen Administratoren nach Möglichkeit die Einstellungen für die Sitzungsdauer überprüfen und vorsichtig sein, wenn Sie gemeinsam genutzte Arbeitsstationen oder öffentliche Netzwerke verwenden.
1. Wählen Sie eine der folgenden Berechtigungen für Verbindungsmethoden aus, die auf die [Verbindungsmethoden](remote-access.md#remote-access-connection-methods) Ihrer Benutzer abgestimmt sind.
1. [Erstellen Sie eine benutzerdefinierte IAM-Richtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) auf der Grundlage der Verbindungsmethodenberechtigung.
**Topics**
+ [Schritt 1: Konfigurieren von Sicherheit und Berechtigungen](#remote-access-remote-setup-permissions)
+ [Schritt 2: Aktivieren des Remotezugriffs für Ihren Bereich](#remote-access-remote-setup-enable)
+ [Erweiterte Zugriffssteuerung](remote-access-remote-setup-abac.md)
+ [Einrichten von Studio für die Ausführung mit Subnetzen ohne Internetzugang innerhalb einer VPC](remote-access-remote-setup-vpc-subnets-without-internet-access.md)
+ [Richten Sie die automatische Speicherplatzfilterung in Studio ein, wenn Sie das AWS Toolkit verwenden](remote-access-remote-setup-filter.md)
## Schritt 1: Konfigurieren von Sicherheit und Berechtigungen
**Topics**
+ [Methode 1: Deep-Link-Berechtigungen](#remote-access-remote-setup-method-1-deep-link-permissions)
+ [Methode 2: AWS Toolkit-Berechtigungen](#remote-access-remote-setup-method-2-aws-toolkit-permissions)
+ [Methode 3: SSH-Terminalberechtigungen](#remote-access-remote-setup-method-3-ssh-terminal-permissions)
**Wichtig**
Die Verwendung umfassender Berechtigungen für`sagemaker:StartSession`, insbesondere bei einer Wildcard-Ressource, `*` birgt das Risiko, dass jeder Benutzer mit dieser Berechtigung eine Sitzung mit einer beliebigen SageMaker Space-App im Konto initiieren kann. Dies kann dazu führen, dass Datenwissenschaftler ungewollt auf die Spaces anderer Nutzer SageMaker zugreifen. In Produktionsumgebungen sollten Sie diese Berechtigungen auf bestimmte Bereiche beschränken, ARNs um das Prinzip der geringsten Rechte durchzusetzen. Beispiele [Erweiterte Zugriffssteuerung](remote-access-remote-setup-abac.md) für detailliertere Berechtigungsrichtlinien unter Verwendung von Ressourcen- ARNs, Tags- und netzwerkbasierten Einschränkungen finden Sie unter.
### Methode 1: Deep-Link-Berechtigungen
Verwenden Sie für Benutzer, die über Deeplinks von der SageMaker Benutzeroberfläche aus eine Verbindung herstellen, die folgende Berechtigung und fügen Sie sie Ihrer SageMaker [AI-Space-Ausführungsrolle](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-space) oder [Domain-Ausführungsrolle](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role) hinzu. Wenn die Bereichsausführungsrolle nicht konfiguriert ist, wird standardmäßig die Domainausführungsrolle verwendet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictStartSessionOnSpacesToUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:StartSession"
],
"Resource": "arn:*:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"ArnLike": {
"sagemaker:ResourceTag/sagemaker:user-profile-arn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
}
}
}
]
}
```
------
### Methode 2: AWS Toolkit-Berechtigungen
Fügen Sie für Benutzer, die eine Verbindung über die AWS Toolkit for Visual Studio Code Erweiterung herstellen, die folgende Richtlinie einer der folgenden Richtlinien bei:
+ Fügen Sie für die IAM-Authentifizierung diese Richtlinie dem IAM-Benutzer oder der IAM-Rolle an.
+ Fügen Sie für die IdC-Authentifizierung diese Richtlinie den vom IdC verwalteten [Berechtigungssätzen](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) hinzu.
Informationen dazu, wie nur Leerzeichen angezeigt werden, die für den authentifizierten Benutzer relevant sind, finden Sie unter[Überblick über die Filterung](remote-access-remote-setup-filter.md#remote-access-remote-setup-filter-overview).
**Wichtig**
Die folgende Richtlinie, die `*` als Ressourcenbeschränkung verwendet, wird nur für schnelle Testzwecke empfohlen. In Produktionsumgebungen sollten Sie diese Berechtigungen auf einen bestimmten Bereich beschränken, ARNs um das Prinzip der geringsten Rechte durchzusetzen. Beispiele [Erweiterte Zugriffssteuerung](remote-access-remote-setup-abac.md) für detailliertere Berechtigungsrichtlinien unter Verwendung von Ressourcen- ARNs, Tags- und netzwerkbasierten Einschränkungen finden Sie unter.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:ListSpaces",
"sagemaker:DescribeSpace",
"sagemaker:ListApps",
"sagemaker:DescribeApp",
"sagemaker:DescribeDomain",
"sagemaker:UpdateSpace",
"sagemaker:CreateApp",
"sagemaker:DeleteApp",
"sagemaker:AddTags"
],
"Resource": "*"
},
{
"Sid": "AllowStartSessionOnSpaces",
"Effect": "Allow",
"Action": "sagemaker:StartSession",
"Resource": [
"arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
"arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
]
}
]
}
```
------
### Methode 3: SSH-Terminalberechtigungen
Bei SSH-Terminalverbindungen wird die `StartSession` API mit dem unten stehenden SSH-Proxy-Befehlsskript unter Verwendung der lokalen Anmeldeinformationen aufgerufen. AWS Informationen und Anweisungen [AWS CLI zum Einrichten der](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html) lokalen AWS Anmeldeinformationen des Benutzers finden Sie unter Konfiguration der. So nutzen Sie diese Berechtigungen:
1. Fügen Sie diese Richtlinie dem IAM-Benutzer oder der Rolle zu, die den lokalen AWS -Anmeldeinformationen zugeordnet ist.
1. Wenn Sie ein benanntes Anmeldeinformationsprofil verwenden, ändern Sie den Proxy-Befehl in Ihrer SSH-Konfiguration:
```
ProxyCommand '/home/user/sagemaker_connect.sh' '%h' YOUR_CREDENTIAL_PROFILE_NAME
```
**Anmerkung**
Die Richtlinie muss an die IAM-Identität (Benutzer/Rolle) angehängt werden, die in Ihrer Konfiguration der lokalen AWS Anmeldeinformationen verwendet wurde, nicht an die Amazon SageMaker AI-Domänenausführungsrolle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowStartSessionOnSpecificSpaces",
"Effect": "Allow",
"Action": "sagemaker:StartSession",
"Resource": [
"arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-1",
"arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/space-name-2"
]
}
]
}
```
------
Nach der Einrichtung können Benutzer `ssh my_studio_space_abc` ausführen, um den Bereich zu starten. Weitere Informationen finden Sie unter [Methode 3: Herstellen einer Verbindung vom Terminal über SSH-CLI](remote-access-local-ide-setup.md#remote-access-local-ide-setup-local-vs-code-method-3-connect-from-the-terminal-via-ssh-cli).
## Schritt 2: Aktivieren des Remotezugriffs für Ihren Bereich
Nachdem Sie die Berechtigungen eingerichtet haben, müssen Sie **Remote Access** aktivieren und Ihren Bereich in Studio starten, bevor der Benutzer mit seiner Remote-IDE eine Verbindung herstellen kann. Diese Einrichtung muss nur einmal durchgeführt werden.
**Anmerkung**
Wenn Ihre Benutzer eine Verbindung herstellen[Methode 2: AWS Toolkit-Berechtigungen](#remote-access-remote-setup-method-2-aws-toolkit-permissions), ist dieser Schritt nicht unbedingt erforderlich. AWS Toolkit for Visual Studio Benutzer können den Fernzugriff über das Toolkit aktivieren.
**Aktivieren des Remotezugriffs für Ihren Studio-Bereich**
1. [Starten Sie Amazon SageMaker Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-updated-launch.html#studio-updated-launch-console).
1. Öffnen Sie die Studio-Benutzeroberfläche.
1. Navigieren Sie zu Ihrem Bereich.
1. Wechseln Sie in den Bereichsdetails zur Option **Remotezugriff**.
1. Wählen Sie **Bereich ausführen** aus.
# Erweiterte Zugriffssteuerung
Amazon SageMaker AI unterstützt die [attributebasierte Zugriffskontrolle (ABAC), um mithilfe von ABAC-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) eine differenzierte Zugriffskontrolle für Remote-IDE-Verbindungen zu erreichen. Im Folgenden finden Sie Beispiele für ABAC-Richtlinien für Remote-IDE-Verbindungen.
**Topics**
+ [Durchsetzung des Remotezugriffs](#remote-access-remote-setup-abac-remote-access-enforcement)
+ [Tag-basierte Zugriffskontrolle](#remote-access-remote-setup-abac-tag-based-access-control)
## Durchsetzung des Remotezugriffs
Steuern Sie den Zugriff auf Ressourcen mithilfe des `sagemaker:RemoteAccess`-Bedingungsschlüssels. Dies wird sowohl von als auch `CreateSpace` unterstützt. `UpdateSpace` APIs Im folgenden Beispiel wird `CreateSpace` verwendet.
Sie können sicherstellen, dass Benutzer keine Bereiche erstellen können, wenn der Remotezugriff aktiviert ist. Dies trägt zur Aufrechterhaltung der Sicherheit bei, indem standardmäßig die Einstellungen für eingeschränkteren Zugriff verwendet werden. Die folgende Richtlinie stellt sicher, dass Benutzer:
+ neue Studio-Bereiche erstellen können, in denen der Remotezugriff ausdrücklich deaktiviert ist.
+ neue Studio-Bereiche erstellen können, ohne Einstellungen für den Remotezugriff anzugeben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyCreateSpaceRemoteAccessEnabled",
"Effect": "Deny",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/*",
"Condition": {
"StringEquals": {
"sagemaker:RemoteAccess": [
"ENABLED"
]
}
}
},
{
"Sid": "AllowCreateSpace",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/*"
}
]
}
```
------
## Tag-basierte Zugriffskontrolle
Implementieren Sie eine [Tag-basierte](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/what-are-tags.html) Zugriffskontrolle, um Verbindungen auf der Grundlage von Ressourcen- und Prinzipal-Tags einzuschränken.
Sie können sicherstellen, dass Benutzer nur auf Ressourcen zugreifen können, die für ihre Rollen- und Projektzuweisungen geeignet sind. Sie können die folgende Richtlinie für Folgendes verwenden:
+ Erlauben Sie Benutzern, sich nur mit Bereichen zu verbinden, die ihrem zugewiesenen Team, ihrer Umgebung und ihrer Kostenstelle entsprechen.
+ Implementieren Sie differenzierte Zugriffskontrolle auf der Grundlage der Organisationsstruktur.
Im folgenden Beispiel wird der Bereich wie folgt gekennzeichnet:
```
{ "Team": "ML", "Environment": "Production", "CostCenter": "12345" }
```
Sie können über eine Rolle verfügen, die die folgende Richtlinie zum Abgleichen von Ressourcen- und Prinzipal-Tags enthält:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictStartSessionOnTaggedSpacesInDomain",
"Effect": "Allow",
"Action": [
"sagemaker:StartSession"
],
"Resource": [
"arn:aws:sagemaker:us-east-1:111122223333:space/domain-id/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/Team": "${aws:PrincipalTag/Team}",
"aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}",
"aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}",
"aws:ResourceTag/IDC_UserName": "${aws:PrincipalTag/IDC_UserName}"
}
}
}
]
}
```
------
Wenn die Tags der Rolle übereinstimmen, ist der Benutzer berechtigt, die Sitzung zu starten und eine Remoteverbindung zu seinem Bereich herzustellen. Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf AWS -Ressourcen mithilfe von Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).
# Einrichten von Studio für die Ausführung mit Subnetzen ohne Internetzugang innerhalb einer VPC
Diese Anleitung zeigt Ihnen, wie Sie von Ihrer Remote-IDE aus eine Verbindung zu Amazon SageMaker Studio-Bereichen herstellen, wenn Ihre Amazon SageMaker AI-Domain in privaten Subnetzen ohne Internetzugang läuft. Sie erfahren mehr über die Konnektivitätsanforderungen und Einrichtungsoptionen, um sichere Remoteverbindungen in isolierten Netzwerkumgebungen herzustellen.
Sie können Amazon SageMaker Studio so konfigurieren, dass es nur im VPC-Modus mit Subnetzen ohne Internetzugang läuft. Diese Einrichtung verbessert die Sicherheit Ihrer Machine-Learning-Workloads, indem sie in einer isolierten Netzwerkumgebung arbeitet, in der der gesamte Datenverkehr über die VPC fließt. Um externe Kommunikation zu ermöglichen und gleichzeitig die Sicherheit aufrechtzuerhalten, verwenden Sie VPC-Endpunkte für AWS Dienste und konfigurieren Sie VPC PrivateLink für die erforderlichen Abhängigkeiten. AWS
**IDE-Unterstützung für private Subnetzverbindungen**
Die folgende Tabelle zeigt die unterstützten Verbindungsmethoden für jede Remote-IDE, wenn eine Verbindung zu Studio-Bereichen in privaten Subnetzen ohne Internetzugang hergestellt wird.
| Verbindungsmethode | VS Code | Kiro | Cursor |
| --- | --- | --- | --- |
| HTTP-Proxy-Unterstützung | Unterstützt | Unterstützt | Nicht unterstützt |
| Vorgefertigte Remoteserver und Erweiterungen | Unterstützt | Nicht unterstützt | Nicht unterstützt |
**Wichtig**
Der Cursor wird für die Verbindung zu Studio-Bereichen in privaten Subnetzen ohne ausgehenden Internetzugang nicht unterstützt.
**Topics**
+ [Netzwerkanforderungen für den Remotezugriff in Studio](#remote-access-remote-setup-vpc-subnets-without-internet-access-network-requirements)
+ [Einrichten des Studio-Remotezugriffsnetzwerks](#remote-access-remote-setup-vpc-subnets-without-internet-access-setup)
## Netzwerkanforderungen für den Remotezugriff in Studio
**Einschränkungen des VPC-Modus** Studio im VPC-Modus unterstützt nur private Subnetze. Studio kann nicht mit Subnetzen arbeiten, die direkt mit einem Internet-Gateway (IGW) verbunden sind. IDE-Remoteverbindungen haben dieselben Einschränkungen wie SageMaker KI. Weitere Informationen finden Sie unter [Verbinden von Studio-Notebooks in einer VPC mit externen Ressourcen](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-and-internet-access.html).
### VPC-Anforderungen PrivateLink
Wenn SageMaker KI in privaten Subnetzen ausgeführt wird, konfigurieren Sie diese SSM-VPC-Endpunkte zusätzlich zu den Standard-VPC-Endpunkten, für die erforderlich sind. SageMaker Weitere Informationen finden Sie unter [Verbinden von Studio über einen VPC-Endpunkt](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-interface-endpoint.html).
+ `com.amazonaws.REGION.ssm`
+ `com.amazonaws.REGION.ssmmessages`
**Richtlinienempfehlungen für VPC-Endgeräte**
Im Folgenden finden Sie die empfohlenen VPC-Endpunktrichtlinien, die die erforderlichen Aktionen für den Fernzugriff ermöglichen und gleichzeitig die `aws:PrincipalIsAWSService` Bedingung verwenden, dass nur AWS Dienste wie Amazon SageMaker AI die Anrufe tätigen können. Weitere Informationen zum `aws:PrincipalIsAWSService` Bedingungsschlüssel finden Sie in [der Dokumentation](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalisawsservice).
**SSM-Endpunktrichtlinie**
Verwenden Sie die folgende Richtlinie für den `com.amazonaws.REGION.ssm` Endpunkt:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"ssm:CreateActivation",
"ssm:RegisterManagedInstance",
"ssm:DeleteActivation",
"ssm:DeregisterManagedInstance",
"ssm:AddTagsToResource",
"ssm:UpdateInstanceInformation",
"ssm:UpdateInstanceAssociationStatus",
"ssm:DescribeInstanceInformation",
"ssm:ListInstanceAssociations",
"ssm:ListAssociations",
"ssm:GetDocument",
"ssm:PutInventory"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
**Endpunktrichtlinie für SSM-Nachrichten**
Verwenden Sie die folgende Richtlinie für den `com.amazonaws.REGION.ssmmessages` Endpunkt:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
**Spezifische Netzwerkanforderungen für VS Code**
Die Remoteverbindung mit VS Code erfordert die Remote-Entwicklung mit VS Code, wofür ein bestimmter Netzwerkzugang erforderlich ist, um den Remoteserver und die Erweiterungen zu installieren. Vollständige Netzwerkanforderungen finden Sie in den [häufig gestellten Fragen zur Remote-Entwicklung](https://code.visualstudio.com/docs/remote/faq) in der Visual Studio Code-Dokumentation. Im Folgenden finden Sie eine Zusammenfassung der Anforderungen:
+ Für die Installation und Aktualisierung des VS-Code-Remoteservers ist der Zugriff auf die Server-Endpunkte von Microsoft VS Code erforderlich.
+ Für die Installation von VS Code-Erweiterungen über das Erweiterungsfenster ist der Zugriff auf den Visual Studio Marketplace und die zugehörigen CDN-Endpunkte erforderlich (alternativ können Erweiterungen auch manuell mithilfe von VSIX-Dateien ohne Internetverbindung installiert werden).
+ Einige Erweiterungen benötigen möglicherweise Zugriff auf zusätzliche Endpunkte, um ihre spezifischen Abhängigkeiten herunterzuladen. Die spezifischen Konnektivitätsanforderungen finden Sie in der Dokumentation der Erweiterung.
**Spezifische Netzwerkanforderungen für Kiro**
Für die Fernverbindung mit Kiro ist die Entwicklung per Fernzugriff erforderlich. Für die Installation des Remote-Servers und der Erweiterungen ist ein spezieller Netzwerkzugriff erforderlich. Informationen zur Konfiguration von Firewall und Proxyserver finden Sie unter Firewall-Konfiguration [von Kiro](https://kiro.dev/docs/privacy-and-security/firewalls/). Die Anforderungen ähneln denen von VS Code:
+ Für die Installation und Aktualisierung des Kiro-Remote-Servers ist Zugriff auf Kiro-Serverendpunkte erforderlich.
+ Für die Installation von Kiro-Erweiterungen über das Erweiterungspanel ist Zugriff auf den Extension Marketplace und die zugehörigen CDN-Endpunkte erforderlich.
+ Einige Erweiterungen benötigen möglicherweise Zugriff auf zusätzliche Endpunkte, um ihre spezifischen Abhängigkeiten herunterzuladen. Die spezifischen Konnektivitätsanforderungen finden Sie in der Dokumentation der Erweiterung.
## Einrichten des Studio-Remotezugriffsnetzwerks
Sie haben die folgenden Optionen, um Ihre Remote-IDE mit Studio-Bereichen in privaten Subnetzen zu verbinden:
+ HTTP-Proxy (unterstützt für VS Code und Kiro)
+ Vorgefertigte Remoteserver und Erweiterungen (nur VS Code)
### Einrichten eines HTTP-Proxys mit kontrollierter Zulassungsliste
Wenn sich Ihr Studio-Bereich hinter einer Firewall oder einem Proxy befindet, erlauben Sie den Zugriff auf Ihren IDE-Server und Ihre Endpunkte im Zusammenhang mit Erweiterungen CDNs .
1. Richten Sie ein öffentliches Subnetz ein, um den HTTP-Proxy (z. B. Squid) auszuführen, in dem Sie konfigurieren können, welche Websites zugelassen werden sollen. Stellen Sie sicher, dass der HTTP-Proxy über Leerzeichen zugänglich ist. SageMaker
1. Das öffentliche Subnetz kann sich in derselben VPC befinden, die vom Studio verwendet wird, oder in einer separaten VPC, die mit allen von Amazon VPCs verwendeten AI-Domänen per Peering verbunden ist. SageMaker
### Richten Sie vorkonfigurierte Remote-Server und Erweiterungen ein (nur VS Code)
**Anmerkung**
Diese Option ist nur für Visual Studio Code verfügbar. Kiro und Cursor unterstützen kein vorkonfiguriertes Remote-Server-Setup.
Wenn Ihre Studio-Bereiche keinen Zugriff auf externe Endpunkte haben, um den VS-Code-Remoteserver und Erweiterungen herunterzuladen, können Sie diese vorab paketieren. Bei diesem Ansatz exportieren Sie einen Tarball, der das `.VS Code-server`-Verzeichnis für eine bestimmte Version von VS Code enthält. Anschließend verwenden Sie ein LCC-Skript ( SageMaker AI Lifecycle Configuration), um den Tarball in das Home-Verzeichnis (`/home/sagemaker-user`) der Studio-Bereiche zu kopieren und zu extrahieren. Diese LCC-basierte Lösung funktioniert sowohl mit bereitgestellten als auch mit benutzerdefinierten Images AWS. Selbst wenn Sie keine privaten Subnetze verwenden, beschleunigt dieser Ansatz die Einrichtung des VS-Code-Remoteservers und der vorinstallierten Erweiterungen.
**Anweisungen zum Vorverpacken Ihres VS-Code-Remoteservers und der Erweiterungen**
1. Installieren Sie VS Code auf Ihrem lokalen Computer.
1. Starten Sie einen Linux-basierten (x64) Docker-Container mit aktiviertem SSH, entweder lokal oder über einen Studio-Bereich mit Internetzugang. Wir empfehlen, der Einfachheit halber einen temporären Studio-Bereich mit Remotezugriff und Internetverbindung zu nutzen.
1. Verbinden Sie Ihren installierten VS Code über Remote SSH mit dem lokalen Docker-Container oder verbinden Sie sich über das VS-Code-Remotefeature von Studio mit dem Studio-Bereich. VS Code installiert den Remoteserver während der Verbindung im `.VS Code-server` im Stammverzeichnis des Remote-Containers. Weitere Informationen finden Sie unter [Beispiel für die Verwendung von Dockerfile für das Vorverpacken Ihres Remoteservers von VS Code und der Erweiterungen](remote-access-local-ide-setup-vpc-no-internet.md#remote-access-local-ide-setup-vpc-no-internet-pre-packaged-vs-code-remote-server-and-extensions-example-dockerfile).
1. Stellen Sie nach der Remoteverbindung sicher, dass Sie das VS-Code-Standardprofil verwenden.
1. Installieren Sie die erforderlichen VS-Code-Erweiterungen und überprüfen Sie deren Funktionalität. Erstellen Sie beispielsweise ein Notebook und führen Sie es aus, um Jupyter-Notebook-bezogene Erweiterungen auf dem VS-Code-Remoteserver zu installieren.
Stellen Sie sicher, dass Sie [die AWS Toolkit for Visual Studio Code Erweiterung installieren](https://docs.aws.amazon.com/toolkit-for-visual-studio/latest/user-guide/setup.html), nachdem Sie eine Verbindung zum Remote-Container hergestellt haben.
1. Archivieren Sie das `$HOME/.VS Code-server`-Verzeichnis (z. B. `VS Code-server-with-extensions-for-1.100.2.tar.gz`) entweder im lokalen Docker-Container oder im Terminal des Studio-Bereichs mit Remoteverbindung.
1. Laden Sie den Tarball auf Amazon S3 hoch.
1. Erstellen Sie ein [LCC-Skript](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-lifecycle-configurations.html) ([Beispiel für ein LCC-Skript (LCC-install-VS C ode-server-v 1.100.2)](remote-access-local-ide-setup-vpc-no-internet.md#remote-access-local-ide-setup-vpc-no-internet-pre-packaged-vs-code-remote-server-and-extensions-example-lcc)), das:
+ das spezifische Archiv von Amazon S3 herunterlädt.
+ es in das Stammverzeichnis extrahiert, wenn ein Studio-Bereich in einem privaten Subnetz gestartet wird.
1. (Optional) Erweitern Sie das LCC-Skript, um benutzerspezifische Server-Tarballs von VS Code zu unterstützen, die in benutzerspezifischen Amazon-S3-Ordnern gespeichert sind.
1. (Optional) Verwenden Sie versionsspezifische LCC-Skripte ([Beispiel für ein LCC-Skript (LCC-install-VS C ode-server-v 1.100.2)](remote-access-local-ide-setup-vpc-no-internet.md#remote-access-local-ide-setup-vpc-no-internet-pre-packaged-vs-code-remote-server-and-extensions-example-lcc)), die Sie an Ihre Bereiche anhängen können, um die Kompatibilität zwischen Ihrem lokalen VS-Code-Client und dem Remoteserver sicherzustellen.
# Richten Sie die automatische Speicherplatzfilterung in Studio ein, wenn Sie das AWS Toolkit verwenden
Benutzer können Bereiche im AWS Toolkit for Visual Studio Code Explorer filtern, um nur relevante Bereiche anzuzeigen. Dieser Abschnitt enthält Informationen zur Filterung und zur Einrichtung der automatisierten Filterung.
Dieses Setup gilt nur, wenn Sie die [Methode 2: AWS Toolkit in der Remote-IDE](remote-access-local-ide-setup.md#remote-access-local-ide-setup-local-vs-code-method-2-aws-toolkit-in-vs-code) Methode verwenden, um eine Verbindung von Ihrer Remote-IDE zu Amazon SageMaker Studio Spaces herzustellen. Weitere Informationen finden Sie unter [Einrichten des Remotezugriffs](remote-access-remote-setup.md).
**Topics**
+ [Überblick über die Filterung](#remote-access-remote-setup-filter-overview)
+ [Einrichten bei der Verbindung mit IAM-Anmeldeinformationen](#remote-access-remote-setup-filter-set-up-iam-credentials)
## Überblick über die Filterung
Durch **manuelles Filtern** können Benutzer über die AWS Toolkit-Oberfläche manuell auswählen, für welche Benutzerprofile Leerzeichen angezeigt werden sollen. Diese Methode funktioniert für alle Authentifizierungstypen und hat Vorrang vor der automatisierten Filterung. Informationen zum manuellen Filtern finden Sie unter [Manuelle Filterung](remote-access-local-ide-setup-filter.md#remote-access-local-ide-setup-filter-manual).
Bei der **automatisierten Filterung** werden automatisch nur Bereiche angezeigt, die für den authentifizierten Benutzer relevant sind. Dieses Filterverhalten hängt von der Authentifizierungsmethode bei der Anmeldung ab. Weitere Informationen finden Sie [im Toolkit for VS Code Code-Benutzerhandbuch unter Herstellen einer Verbindung](https://docs.aws.amazon.com/toolkit-for-vscode/latest/userguide/connect.html#connect-to-aws) zum Toolkit. AWS Nachfolgend sind die Anmeldeoptionen aufgeführt.
+ **Mit SSO authentifizieren und verbinden**: Die automatische Filterung funktioniert standardmäßig.
+ **Mit IAM-Anmeldeinformationen authentifizieren und verbinden**: Für die automatische Filterung ist eine **Administratorkonfiguration** für die folgenden IAM-Anmeldeinformationen erforderlich. Ohne dieses Setup kann AWS Toolkit nicht erkennen, welche Leerzeichen dem Benutzer gehören, sodass standardmäßig alle Leerzeichen angezeigt werden.
+ **Verwenden von Anmeldeinformationen von IAM-Benutzern**
+ **Verwenden von Anmeldeinformationen für eine angenommene IAM-Rollensitzung**
## Einrichten bei der Verbindung mit IAM-Anmeldeinformationen
**Beim Verwenden von Anmeldeinformationen von IAM-Benutzern**
Das Toolkit für VS Code kann Bereiche zuordnen, die zu Benutzerprofilen gehören, die mit dem authentifizierten IAM-Benutzernamen oder dem Namen der angenommenen Rollensitzung beginnen. So funktioniert die Einrichtung:
**Anmerkung**
Administratoren müssen die Namen der Studio-Benutzerprofile so konfigurieren, dass sie dieser Namenskonvention entsprechen, damit die automatische Filterung ordnungsgemäß funktioniert.
+ Administratoren müssen sicherstellen, dass die Namen der Studio-Benutzerprofile der Namenskonvention entsprechen:
+ Für IAM-Benutzer: Präfix mit `IAM-user-name-`
+ Für angenommene Rollen: Präfix mit `assumed-role-session-name-`
+ `aws sts get-caller-identity` gibt die für den Abgleich verwendeten Identitätsinformationen zurück
+ Bereiche, die zu den passenden Benutzerprofilen gehören, werden im Toolkit für VS Code automatisch gefiltert
**Bei Verwendung von Sitzungsanmeldedaten für die angenommene** IAM-Rolle Zusätzlich zu den oben genannten Einstellungen müssen Sie sicherstellen, dass die Sitzung Benutzer-IDs als übereinstimmende Präfixe ARNs enthält. Sie können Vertrauensrichtlinien konfigurieren, die sicherstellen, dass die Sitzung Benutzer-IDs als Präfixe ARNs enthält. [Erstellen Sie eine Vertrauensrichtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) und fügen Sie sie der angenommenen Rolle hinzu, die für die Authentifizierung verwendet wird.
Diese Einrichtung ist für direkte Anmeldeinformationen von IAM-Benutzer oder die IdC-Authentifizierung nicht erforderlich.
**Beispiel für die Einrichtung einer Vertrauensrichtlinie für Anmeldeinformationen für IAM-Rollensitzungen** Erstellen Sie eine Vertrauensrichtlinie, die vorschreibt, dass Rollensitzungen den IAM-Benutzernamen enthalten müssen. Folgendes ist eine Beispielrichtlinie:
```
{
"Statement": [
{
"Sid": "RoleTrustPolicyRequireUsernameForSessionName",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Principal": {"AWS": "arn:aws:iam::ACCOUNT:root"},
"Condition": {
"StringLike": {"sts:RoleSessionName": "${aws:username}"}
}
}
]
}
```