Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Amazon SageMaker Canvas in einer VPC ohne Internetzugang konfigurieren

PDF
RSS
Fokusmodus
Amazon SageMaker Canvas in einer VPC ohne Internetzugang konfigurieren - Amazon SageMaker KI
Amazon SageMaker Canvas in einer VPC ohne Internetzugang konfigurieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die Amazon SageMaker Canvas-Anwendung wird in einem Container in einer AWS verwalteten Amazon Virtual Private Cloud (VPC) ausgeführt. Wenn Sie den Zugriff auf Ihre Ressourcen weiter kontrollieren oder SageMaker Canvas ohne öffentlichen Internetzugang ausführen möchten, können Sie Ihre Amazon SageMaker AI-Domain- und VPC-Einstellungen konfigurieren. In Ihrer eigenen VPC können Sie Einstellungen wie Sicherheitsgruppen (virtuelle Firewalls, die den ein- und ausgehenden Datenverkehr von EC2 Amazon-Instances kontrollieren) und Subnetze (Bereiche von IP-Adressen in Ihrer VPC) konfigurieren. Weitere Informationen finden Sie VPCs unter So funktioniert Amazon VPC.

Wenn die SageMaker Canvas-Anwendung in der AWS verwalteten VPC ausgeführt wird, kann sie entweder über eine Internetverbindung oder über VPC-Endpunkte, die in einer vom Kunden verwalteten VPC (ohne öffentlichen Internetzugang) erstellt wurden, mit anderen AWS Diensten interagieren. SageMaker Canvas-Anwendungen können über eine von Studio Classic erstellte Netzwerkschnittstelle auf diese VPC-Endpoints zugreifen, die Konnektivität zur vom Kunden verwalteten VPC bereitstellt. Das Standardverhalten der SageMaker Canvas-Anwendung besteht darin, Internetzugang zu haben. Wenn Sie eine Internetverbindung verwenden, greifen die Container für die vorherigen Jobs über das Internet auf AWS Ressourcen zu, z. B. die Amazon-S3-Buckets, in denen Sie Trainingsdaten und Modellartefakte speichern.

Wenn Sie jedoch Sicherheitsanforderungen haben, um den Zugriff auf Ihre Daten- und Jobcontainer zu kontrollieren, empfehlen wir Ihnen, SageMaker Canvas und Ihre VPC so zu konfigurieren, dass Ihre Daten und Container nicht über das Internet zugänglich sind. SageMaker AI verwendet die VPC-Konfigurationseinstellungen, die Sie bei der Einrichtung Ihrer Domain für SageMaker Canvas angeben.

Wenn Sie Ihre SageMaker Canvas-Anwendung ohne Internetzugang konfigurieren möchten, müssen Sie Ihre VPC-Einstellungen konfigurieren, wenn Sie in die Amazon SageMaker AI-Domain einsteigen, VPC-Endpunkte einrichten und die erforderlichen Berechtigungen erteilen. AWS Identity and Access Management Informationen zur Konfiguration einer VPC in Amazon SageMaker AI finden Sie unterWählen Sie eine Amazon VPC. In den folgenden Abschnitten wird beschrieben, wie SageMaker Canvas in einer VPC ohne öffentlichen Internetzugang ausgeführt wird.

Amazon SageMaker Canvas in einer VPC ohne Internetzugang konfigurieren

Sie können Traffic von SageMaker Canvas über Ihre eigene VPC an andere AWS Dienste senden. Wenn Ihre eigene VPC keinen öffentlichen Internetzugang hat und Sie Ihre Domain nur im VPC-Modus eingerichtet haben, hat SageMaker Canvas auch keinen öffentlichen Internetzugang. Dazu gehören alle Anfragen, z. B. der Zugriff auf Datensätze in Amazon S3 oder Trainingsjobs für Standard-Builds, und die Anfragen werden über VPC-Endpunkte in Ihrer VPC statt über das öffentliche Internet abgewickelt. Beim Onboarding von Domain und Wählen Sie eine Amazon VPC können Sie Ihre eigene VPC als Standard-VPC für die Domain angeben, zusammen mit den gewünschten Sicherheitsgruppen- und Subnetzeinstellungen. Anschließend erstellt SageMaker KI eine Netzwerkschnittstelle in Ihrer VPC, die SageMaker Canvas für den Zugriff auf VPC-Endpunkte in Ihrer VPC verwendet.

Stellen Sie sicher, dass Sie in Ihrer VPC eine oder mehrere Sicherheitsgruppen mit Regeln für eingehenden und ausgehenden Datenverkehr einrichten, die TCP-Verkehr innerhalb der Sicherheitsgruppe zulassen. Dies ist für die Konnektivität zwischen der Jupyter Server-Anwendung und den Kernel Gateway-Anwendungen erforderlich. Sie müssen den Zugriff auf mindestens Ports im Bereich 8192-65535 zulassen. Stellen Sie außerdem sicher, dass Sie für jedes Benutzerprofil eine eigene Sicherheitsgruppe erstellen und eingehenden Zugriff von derselben Sicherheitsgruppe hinzufügen. Es wird nicht empfohlen, eine Sicherheitsgruppe auf Domänenebene für Benutzerprofile wiederzuverwenden. Wenn die Sicherheitsgruppe auf Domänenebene eingehenden Zugriff auf sich selbst zulässt, haben alle Anwendungen in der Domäne Zugriff auf alle anderen Anwendungen in der Domäne. Beachten Sie, dass die Sicherheitsgruppen- und Subnetzeinstellungen festgelegt werden, nachdem Sie das Onboarding in die Domäne abgeschlossen haben.

Wenn Sie beim Onboarding zur Domain nur öffentliches Internet als Netzwerkzugriffstyp wählen, wird die VPC SageMaker KI-verwaltet und ermöglicht den Internetzugang.

Sie können dieses Verhalten ändern, indem Sie nur VPC auswählen, sodass SageMaker KI den gesamten Datenverkehr an eine Netzwerkschnittstelle sendet, die SageMaker AI in Ihrer angegebenen VPC erstellt. Wenn Sie diese Option wählen, müssen Sie die Subnetze, Sicherheitsgruppen und VPC-Endpunkte bereitstellen, die für die Kommunikation mit der SageMaker API und SageMaker AI Runtime erforderlich sind, sowie verschiedene AWS Dienste wie Amazon S3 und Amazon CloudWatch, die von Canvas verwendet werden. SageMaker Beachten Sie, dass Sie nur Daten aus Amazon-S3-Buckets importieren können, die sich in derselben Region wie Ihre VPC befinden.

Die folgenden Verfahren zeigen, wie Sie diese Einstellungen für die Verwendung von SageMaker Canvas ohne Internet konfigurieren können.

Schritt 1: Einstieg in die Amazon SageMaker AI-Domain

Um SageMaker Canvas-Verkehr an eine Netzwerkschnittstelle in Ihrer eigenen VPC statt über das Internet zu senden, geben Sie die VPC an, die Sie beim Onboarding in die Amazon SageMaker AI-Domain verwenden möchten. Sie müssen außerdem mindestens zwei Subnetze in Ihrer VPC angeben, die SageMaker KI verwenden kann. Wählen Sie Standard-Setup und gehen Sie wie folgt vor, wenn Sie den Netzwerk- und Speicherbereich für die Domain konfigurieren.

  1. Wählen Sie Ihre gewünschte VPC aus.

  2. Wählen Sie zwei oder mehr Subnetze aus. Wenn Sie die Subnetze nicht angeben, verwendet SageMaker AI alle Subnetze in der VPC.

  3. Wählen Sie eine oder mehrere Sicherheitsgruppe(n).

  4. Wählen Sie Nur VPC, um den direkten Internetzugang in der AWS verwalteten VPC zu deaktivieren, in der SageMaker Canvas gehostet wird.

Nachdem Sie den Internetzugang deaktiviert haben, schließen Sie den Onboarding-Prozess ab, um Ihre Domain einzurichten. Weitere Informationen zu den VPC-Einstellungen für die Amazon SageMaker AI-Domain finden Sie unterWählen Sie eine Amazon VPC.

Schritt 2: Konfigurieren der VPC-Endpunkte und des Zugriffs

Anmerkung

Um Canvas in Ihrer eigenen VPC zu konfigurieren, müssen Sie private DNS-Hostnamen für Ihre VPC-Endpunkte aktivieren. Weitere Informationen finden Sie unter Connect SageMaker KI über einen VPC-Schnittstellenendpunkt herstellen.

SageMaker Canvas greift nur auf andere AWS Dienste zu, um Daten für seine Funktionalität zu verwalten und zu speichern. Es stellt beispielsweise eine Verbindung zu Amazon Redshift her, wenn Ihre Benutzer auf eine Amazon Redshift-Datenbank zugreifen. Es kann über eine Internetverbindung oder einen VPC-Endpunkt eine Verbindung zu einem AWS Service wie Amazon Redshift herstellen. Verwenden Sie VPC-Endpunkte, wenn Sie Verbindungen von Ihrer VPC zu AWS Diensten einrichten möchten, die das öffentliche Internet nicht nutzen.

Ein VPC-Endpunkt stellt eine private Verbindung zu einem AWS Dienst her, der einen vom öffentlichen Internet isolierten Netzwerkpfad verwendet. Wenn Sie beispielsweise den Zugriff auf Amazon S3 mithilfe eines VPC-Endpunkts von Ihrer eigenen VPC aus einrichten, kann die SageMaker Canvas-Anwendung über die Netzwerkschnittstelle in Ihrer VPC und dann über den VPC-Endpunkt, der eine Verbindung zu Amazon S3 herstellt, auf Amazon S3 zugreifen. Die Kommunikation zwischen SageMaker Canvas und Amazon S3 ist privat.

Weitere Informationen zur Konfiguration von VPC-Endpunkten für Ihre VPC finden Sie unter AWS PrivateLink. Wenn Sie Amazon Bedrock-Modelle in Canvas mit einer VPC verwenden, finden Sie weitere Informationen zur Steuerung des Zugriffs auf Ihre Daten unter Schützen von Aufträgen mithilfe einer VPC im Amazon Bedrock-Benutzerhandbuch.

Im Folgenden sind die VPC-Endpunkte für jeden Service aufgeführt, den Sie mit SageMaker Canvas verwenden können:

Service Endpunkt Endpunkttyp

AWS Application Auto Scaling

com.amazonaws. Region.automatische Skalierung von Anwendungen

Schnittstelle

Amazon Athena

com.amazonaws. Region.Athena

Schnittstelle

Amazon SageMaker KI

com.amazonaws. Region.sagemaker.api

com.amazonaws. Region.sagemaker.runtime

com.amazonaws. Region. Notizbuch

Schnittstelle

Amazon SageMaker AI-Assistent für Datenwissenschaft

com.amazonaws. Region. sagemaker-data-science-assistant

Schnittstelle

AWS Security Token Service

com.amazonaws. Region.sts

Schnittstelle

Amazon Elastic Container Registry (Amazon ECR)

com.amazonaws. Region.ecr.api

com.amazonaws. Region.ecr.dkr

Schnittstelle

Amazon Elastic Compute Cloud (Amazon EC2)

com.amazonaws. Region.ec2

Schnittstelle

Amazon Simple Storage Service (Amazon-S3)

com.amazonaws. Region. 3

Gateway

Amazon Redshift

com.amazonaws. Region.redshift-Daten

Schnittstelle

AWS Secrets Manager

com.amazonaws. Region. Geheimnismanager

Schnittstelle

AWS Systems Manager

com.amazonaws. Region.ssm

Schnittstelle

Amazon CloudWatch

com.amazonaws. Region. Überwachung

Schnittstelle

CloudWatch Amazon-Protokolle

com.amazonaws. Region.protokolle

Schnittstelle

Amazon Forecast

com.amazonaws. Region. Prognose

com.amazonaws. Region. Prognoseabfrage

Schnittstelle

Amazon Textract

com.amazonaws. Region.textrahieren

Schnittstelle

Amazon Comprehend

com.amazonaws. Region.com verstehen

Schnittstelle

Amazon Rekognition

com.amazonaws. Region.rekognition

Schnittstelle

AWS Glue

com.amazonaws. Region. kleben

Schnittstelle

AWS Application Auto Scaling

com.amazonaws. Region.automatische Skalierung von Anwendungen

Schnittstelle

Amazon Relational Database Service (Amazon RDS)

com.amazonaws. Region.rds

Schnittstelle

Amazon Bedrock (siehe Hinweis nach der Tabelle)

com.amazonaws. Region.bedrock-Laufzeit

Schnittstelle

Amazon Kendra

com.amazonaws. Region.kendra

Schnittstelle

Amazon EMR Serverless

com.amazonaws. Region.emr-serverlos

Schnittstelle

Amazon Q Developer (siehe Hinweis nach der Tabelle)

com.amazonaws. Regionq

Schnittstelle
Anmerkung

Der VPC-Endpunkt Amazon Q Developer ist derzeit nur in der Region USA Ost (Nord-Virginia) verfügbar. Um von anderen Regionen aus eine Verbindung herzustellen, können Sie je nach Ihren Sicherheits- und Infrastruktureinstellungen eine der folgenden Optionen wählen:

  • Richten Sie ein NAT-Gateway ein. Konfigurieren Sie ein NAT-Gateway im privaten Subnetz Ihrer VPC, um die Internetverbindung für den Q Developer-Endpunkt zu aktivieren. Weitere Informationen finden Sie unter Einrichten eines NAT-Gateways in einem privaten VPC-Subnetz.

  • Aktivieren Sie den regionsübergreifenden VPC-Endpunktzugriff. Richten Sie den regionsübergreifenden VPC-Endpunktzugriff für Q Developer ein. Verwenden Sie diese Option, um eine sichere Verbindung herzustellen, ohne dass ein Internetzugang erforderlich ist. Weitere Informationen finden Sie unter Konfiguration des regionsübergreifenden VPC-Endpunktzugriffs.

Anmerkung

Für Amazon Bedrock ist der Name com.amazonaws.Region.bedrock des Schnittstellenendpunkts Service veraltet. Erstellen Sie einen neuen VPC-Endpunkt mit dem in der vorherigen Tabelle aufgeführten Service-Namen.

Darüber hinaus können Sie ohne Internetzugang keine Feinabstimmung von Foundation-Modellen von Canvas VPCs aus vornehmen. Dies liegt daran, dass Amazon Bedrock keine VPC-Endpunkte für die Modellanpassung unterstützt. APIs Weitere Informationen zur Feinabstimmung von Basismodellen in Canvas finden Sie unter. Optimieren Sie die Basismodelle

Sie müssen auch eine Endpunktrichtlinie für Amazon S3 hinzufügen, um den AWS Prinzipalzugriff auf Ihren VPC-Endpunkt zu kontrollieren. Informationen zur Aktualisierung Ihrer VPC-Endpunktrichtlinie finden Sie unter Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien.

Im Folgenden sind zwei VPC-Endpunktrichtlinien aufgeführt, die Sie verwenden können. Verwenden Sie die erste Richtlinie, wenn Sie nur Zugriff auf die grundlegenden Funktionen von Canvas gewähren möchten, z. B. auf das Importieren von Daten und das Erstellen von Modellen. Verwenden Sie die zweite Richtlinie, wenn Sie Zugriff auf die zusätzlichen generativen KI-Funktionen in Canvas gewähren möchten.

Basic VPC endpoint policy

Die folgende Richtlinie gewährt den erforderlichen Zugriff auf Ihren VPC-Endpunkt für grundlegende Operationen in Canvas.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }
Generative AI VPC endpoint policy

Die folgende Richtlinie gewährt den erforderlichen Zugriff auf Ihren VPC-Endpunkt für grundlegende Operationen in Canvas sowie für die Verwendung generativer KI-Grundmodelle.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*",
                "arn:aws:s3:::*fmeval/datasets*",
                "arn:aws:s3:::*jumpstart-cache-prod*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }
anchoranchor

Die folgende Richtlinie gewährt den erforderlichen Zugriff auf Ihren VPC-Endpunkt für grundlegende Operationen in Canvas.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }

Schritt 3: Erteilen von IAM-Berechtigungen

Der SageMaker Canvas-Benutzer muss über die erforderlichen AWS Identity and Access Management Berechtigungen verfügen, um eine Verbindung zu den VPC-Endpunkten herzustellen. Die IAM-Rolle, der Sie Berechtigungen erteilen, muss dieselbe sein, die Sie beim Onboarding in die Amazon SageMaker AI-Domain verwendet haben. Sie können die von SageMaker KI verwaltete AmazonSageMakerFullAccess Richtlinie an die IAM-Rolle anhängen, damit der Benutzer dem Benutzer die erforderlichen Berechtigungen erteilt. Wenn Sie restriktivere IAM-Berechtigungen benötigen und stattdessen benutzerdefinierte Richtlinien verwenden, geben Sie der Rolle des Benutzers die entsprechende Berechtigung. ec2:DescribeVpcEndpointServices SageMaker Canvas benötigt diese Berechtigungen, um das Vorhandensein der erforderlichen VPC-Endpunkte für Standard-Build-Jobs zu überprüfen. Wenn es diese VPC-Endpunkte erkennt, werden Standard-Build-Jobs standardmäßig in Ihrer VPC ausgeführt. Andernfalls werden sie in der standardmäßigen AWS verwalteten VPC ausgeführt.

Anweisungen zum Anhängen der AmazonSageMakerFullAccess IAM-Richtlinie an die IAM-Rolle Ihres Benutzers finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.

Gehen Sie wie folgt vor, um der IAM-Rolle Ihres Benutzers das granulare ec2:DescribeVpcEndpointServices Zugriffsrecht zu erteilen.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole.

  2. Wählen Sie im Navigationsbereich Rollen.

  3. Wählen Sie in der Liste den Namen der Rolle, der Sie Berechtigungen erteilen möchten.

  4. Wählen Sie die Registerkarte Berechtigungen.

  5. Wählen Sie Add permissions (Berechtigungen hinzufügen) und dann Create inline policy (Inline-Richtlinie erstellen) aus.

  6. Wählen Sie die Registerkarte JSON und geben Sie die folgende Richtlinie ein, die die ec2:DescribeVpcEndpointServices Berechtigung erteilt:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "ec2:DescribeVpcEndpointServices",
            "Resource": "*"
        }
    ]
}

  7. Wählen Sie Überprüfungsrichtlinie, und geben Sie einen Namen für die Richtlinie ein (z. B. VPCEndpointPermissions).

  8. Wählen Sie Create Policy (Richtlinie erstellen) aus.

Die IAM-Rolle des Benutzers sollte jetzt über Berechtigungen für den Zugriff auf die in Ihrer VPC konfigurierten VPC-Endpoints verfügen.

(Optional) Schritt 4: Überschreiben der Sicherheitsgruppeneinstellungen für bestimmte Benutzer

Wenn Sie ein Administrator sind, möchten Sie möglicherweise, dass verschiedene Benutzer unterschiedliche VPC-Einstellungen oder benutzerspezifische VPC-Einstellungen haben. Wenn Sie die standardmäßigen Sicherheitsgruppeneinstellungen der VPC für einen bestimmten Benutzer überschreiben, werden diese Einstellungen an die SageMaker Canvas-Anwendung für diesen Benutzer weitergegeben.

Sie können die Sicherheitsgruppen überschreiben, auf die ein bestimmter Benutzer in Ihrer VPC Zugriff hat, wenn Sie ein neues Benutzerprofil in Studio Classic einrichten. Sie können den CreateUserProfile SageMaker API-Aufruf (oder create_user_profile mit AWS CLI) verwenden und dann in der den UserSettings für den Benutzer angeben. SecurityGroups

Auf dieser Seite

Related resources

Amazon SageMaker AI API-Referenz
AWS CLI Befehle für Amazon SageMaker AI
SDKs und Werkzeuge 

Related resources

Amazon SageMaker AI API-Referenz
AWS CLI Befehle für Amazon SageMaker AI
SDKs und Werkzeuge 
DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.