Amazon SageMaker Canvas VPC ohne Internetzugang konfigurieren - Amazon SageMaker

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon SageMaker Canvas VPC ohne Internetzugang konfigurieren

Die Amazon SageMaker Canvas-Anwendung wird in einem Container in einer AWS verwalteten Amazon Virtual Private Cloud (VPC) ausgeführt. Wenn Sie den Zugriff auf Ihre Ressourcen weiter kontrollieren oder SageMaker Canvas ohne öffentlichen Internetzugang ausführen möchten, können Sie Ihre SageMaker Amazon-Domain und VPC -Einstellungen konfigurieren. In Ihrem eigenen VPC Bereich können Sie Einstellungen wie Sicherheitsgruppen (virtuelle Firewalls, die den ein- und ausgehenden Datenverkehr von EC2 Amazon-Instances kontrollieren) und Subnetze (Bereiche von IP-Adressen in Ihren) konfigurieren. VPC Weitere Informationen finden Sie VPCs unter So VPC funktioniert Amazon.

Wenn die SageMaker Canvas-Anwendung im AWS verwalteten Bereich ausgeführt wirdVPC, kann sie entweder über eine Internetverbindung oder über VPC Endpunkte, die in einem vom Kunden verwalteten System VPC (ohne öffentlichen Internetzugang) erstellt wurden, mit anderen AWS Diensten interagieren. SageMaker Canvas-Anwendungen können über eine von Studio Classic erstellte Netzwerkschnittstelle auf diese VPC Endpunkte zugreifen, die Konnektivität zu den vom Kunden verwalteten Geräten bereitstellen. VPC Das Standardverhalten der SageMaker Canvas-Anwendung besteht darin, Internetzugang zu haben. Wenn Sie eine Internetverbindung verwenden, greifen die Container für die vorherigen Jobs über das Internet auf AWS Ressourcen zu, z. B. die Amazon-S3-Buckets, in denen Sie Trainingsdaten und Modellartefakte speichern.

Wenn Sie jedoch Sicherheitsanforderungen haben, um den Zugriff auf Ihre Daten- und Jobcontainer zu kontrollieren, empfehlen wir Ihnen, SageMaker Canvas und Ihre VPC so zu konfigurieren, dass Ihre Daten und Container nicht über das Internet zugänglich sind. SageMaker verwendet die VPC Konfigurationseinstellungen, die Sie bei der Einrichtung Ihrer Domain für SageMaker Canvas angeben.

Wenn Sie Ihre SageMaker Canvas-Anwendung ohne Internetzugang konfigurieren möchten, müssen Sie Ihre VPC Einstellungen konfigurieren, wenn Sie sich Amazon SageMaker Amazon-Domain anmelden, VPC Endpunkte einrichten und die erforderlichen AWS Identity and Access Management Berechtigungen erteilen. Informationen zur Konfiguration von a VPC in Amazon SageMaker finden Sie unterWähle einen Amazon VPC. In den folgenden Abschnitten wird beschrieben, wie SageMaker Canvas VPC ohne öffentlichen Internetzugang ausgeführt wird.

Amazon SageMaker Canvas VPC ohne Internetzugang konfigurieren

Sie können Traffic von SageMaker Canvas über Ihre eigenen AWS Dienste an andere Dienste sendenVPC. Wenn deine eigene Domain VPC keinen öffentlichen Internetzugang hat und du deine Domain im Modus „VPCNur“ eingerichtet hast, hat SageMaker Canvas auch keinen öffentlichen Internetzugang. Dazu gehören alle Anfragen, z. B. der Zugriff auf Datensätze in Amazon S3 oder Trainingsjobs für Standard-Builds, und die Anfragen werden über VPC Endpunkte in Ihrem VPC statt über das öffentliche Internet geleitet. Wenn Sie Domain und einbindenWähle einen Amazon VPC, können Sie Ihre eigene Domain zusammen mit den gewünschten Sicherheitsgruppen- und Subnetzeinstellungen VPC als Standard VPC für die Domain angeben. SageMakerErstellt dann eine Netzwerkschnittstelle in Ihrem, VPC die SageMaker Canvas für den Zugriff auf VPC Endpunkte in Ihrem verwendet. VPC

Stellen Sie sicher, dass Sie in Ihrem System eine oder mehrere Sicherheitsgruppen VPC mit Regeln für eingehenden und ausgehenden Datenverkehr einrichten, die den TCPDatenverkehr innerhalb der Sicherheitsgruppe zulassen. Dies ist für die Konnektivität zwischen der Jupyter Server-Anwendung und den Kernel-Gateway-Anwendungen erforderlich. Sie müssen den Zugriff auf mindestens Ports im Bereich 8192-65535 zulassen. Stellen Sie außerdem sicher, dass Sie für jedes Benutzerprofil eine eigene Sicherheitsgruppe erstellen und eingehenden Zugriff von derselben Sicherheitsgruppe hinzufügen. Es wird nicht empfohlen, eine Sicherheitsgruppe auf Domänenebene für Benutzerprofile wiederzuverwenden. Wenn die Sicherheitsgruppe auf Domänenebene eingehenden Zugriff auf sich selbst zulässt, haben alle Anwendungen in der Domäne Zugriff auf alle anderen Anwendungen in der Domäne. Beachten Sie, dass die Sicherheitsgruppen- und Subnetzeinstellungen festgelegt werden, nachdem Sie das Onboarding in die Domäne abgeschlossen haben.

Wenn Sie beim Onboarding zur Domain nur öffentliches Internet als Netzwerkzugriffstyp wählen, VPC wird dieser SageMaker verwaltet und ermöglicht den Internetzugang.

Sie können dieses Verhalten ändern, indem Sie VPCnur festlegen, dass der gesamte Datenverkehr an eine Netzwerkschnittstelle SageMaker gesendet wird, die in der von Ihnen angegebenen VPC Netzwerkschnittstelle SageMaker erstellt wird. Wenn Sie diese Option wählen, müssen Sie die Subnetze, Sicherheitsgruppen und VPC Endpunkte angeben, die für die Kommunikation mit der SageMaker Runtime SageMaker API und verschiedenen AWS Diensten wie Amazon S3 und Amazon erforderlich sind CloudWatch, die von SageMaker Canvas verwendet werden. Beachten Sie, dass Sie nur Daten aus Amazon S3 S3-Buckets importieren können, die sich in derselben Region wie Ihre VPC befinden.

Die folgenden Verfahren zeigen, wie Sie diese Einstellungen für die Verwendung von SageMaker Canvas ohne Internet konfigurieren können.

Schritt 1: Einsteigen in die SageMaker Amazon-Domain

Um SageMaker Canvas-Verkehr an eine eigene Netzwerkschnittstelle VPC statt über das Internet zu senden, geben Sie die an, die VPC Sie beim Onboarding in die SageMaker Amazon-Domain verwenden möchten. Sie müssen außerdem mindestens zwei Subnetze in Ihrem System angebenVPC, die Sie verwenden SageMaker können. Wählen Sie Standard-Setup und gehen Sie wie folgt vor, wenn Sie den Netzwerk- und Speicherbereich für die Domain konfigurieren.

  1. Wählen Sie das gewünschte aus VPC.

  2. Wählen Sie zwei oder mehr Subnetze aus. Wenn Sie die Subnetze nicht angeben, werden alle Subnetze in der SageMaker verwendet. VPC

  3. Wählen Sie eine oder mehrere Sicherheitsgruppe(n).

  4. Wählen Sie VPCNur, um den direkten Internetzugang in dem AWS verwalteten Bereich zu deaktivieren, in VPC dem SageMaker Canvas gehostet wird.

Nachdem Sie den Internetzugang deaktiviert haben, schließen Sie den Onboarding-Prozess ab, um Ihre Domain einzurichten. Weitere Informationen zu den VPC Einstellungen für die SageMaker Amazon-Domain finden Sie unterWähle einen Amazon VPC.

Schritt 2: VPC Endgeräte und Zugriff konfigurieren

Anmerkung

Um Canvas selbst zu konfigurierenVPC, müssen Sie private DNS Hostnamen für Ihre VPC Endpunkte aktivieren. Weitere Informationen finden Sie unter Connect zu einem Endpunkt SageMaker über eine VPC Schnittstelle.

SageMaker Canvas greift nur auf andere AWS Dienste zu, um Daten für seine Funktionalität zu verwalten und zu speichern. Es stellt beispielsweise eine Verbindung zu Amazon Redshift her, wenn Ihre Benutzer auf eine Amazon Redshift-Datenbank zugreifen. Es kann über eine Internetverbindung oder einen VPC Endpunkt eine Verbindung zu einem AWS Dienst wie Amazon Redshift herstellen. Verwenden Sie VPC Endpunkte, wenn Sie Verbindungen von Ihrem VPC zu AWS Diensten einrichten möchten, die das öffentliche Internet nicht nutzen.

Ein VPC Endpunkt stellt eine private Verbindung zu einem AWS Dienst her, der einen vom öffentlichen Internet isolierten Netzwerkpfad verwendet. Wenn Sie beispielsweise den Zugriff auf Amazon S3 über einen eigenen VPC Endpunkt einrichtenVPC, kann die SageMaker Canvas-Anwendung auf Amazon S3 zugreifen, indem sie über die Netzwerkschnittstelle in Ihrem VPC und dann über den VPC Endpunkt, der eine Verbindung zu Amazon S3 herstellt, geht. Die Kommunikation zwischen SageMaker Canvas und Amazon S3 ist privat.

Weitere Informationen zur Konfiguration von VPC Endpunkten für Sie finden Sie VPC unter AWS PrivateLink. Wenn Sie Amazon Bedrock-Modelle in Canvas mit einem verwendenVPC, finden Sie weitere Informationen zur Steuerung des Zugriffs auf Ihre Daten unter Schützen von Jobs mithilfe von a VPC im Amazon Bedrock-Benutzerhandbuch.

Im Folgenden sind die VPC Endpunkte für jeden Service aufgeführt, den Sie mit Canvas verwenden können: SageMaker

Service Endpunkt Endpunkttyp

AWS Application Auto Scaling

com.amazonaws.Region.automatische Skalierung von Anwendungen

Schnittstelle

Amazon Athena

com.amazonaws.Regionathena.

Schnittstelle

Amazon SageMaker

com.amazonaws.Region.sagemaker.api

com.amazonaws.Region.sagemaker.Laufzeit

com.amazonaws.Region. Notizbuch

Schnittstelle

AWS Security Token Service

com.amazonaws.Region.sts

Schnittstelle

Amazon Elastic Container Registry (AmazonECR)

com.amazonaws.Region.ecr.api

com.amazonaws.Region.ecr.dkr

Schnittstelle

Amazon Elastic Compute Cloud (AmazonEC2)

com.amazonaws.Regionec2.

Schnittstelle

Amazon-Simple-Storage-Service (Amazon-S3)

com.amazonaws.Regions3.

Gateway

Amazon-Redshift

com.amazonaws.Region.redshift-Daten

Schnittstelle

AWS Secrets Manager

com.amazonaws.Regionsecretsmanager.

Schnittstelle

AWS Systems Manager

com.amazonaws.Regionssm.

Schnittstelle

Amazon CloudWatch

com.amazonaws.Region. Überwachung

Schnittstelle

CloudWatch Amazon-Protokolle

com.amazonaws.Region.protokolle

Schnittstelle

Amazon Forecast

com.amazonaws.Region. Prognose

com.amazonaws.Region. Prognoseabfrage

Schnittstelle

Amazon Textract

com.amazonaws.Region.textrahieren

Schnittstelle

Amazon Comprehend

com.amazonaws.Region.com verstehen

Schnittstelle

Amazon Rekognition

com.amazonaws.Region. Rekognition

Schnittstelle

AWS Glue

com.amazonaws.Region. kleben

Schnittstelle

AWS Application Auto Scaling

com.amazonaws.Region.automatische Skalierung von Anwendungen

Schnittstelle

Amazon Relational Database Service (AmazonRDS)

com.amazonaws.Regionrds.

Schnittstelle

Amazon Bedrock

com.amazonaws.Region.bedrock-Laufzeit

Schnittstelle

Amazon Kendra

com.amazonaws.Region.kendra

Schnittstelle

Amazon EMR Serverlos

com.amazonaws.Region.emr-serverlos

Schnittstelle

Anmerkung

Für Amazon Bedrock ist der Name com.amazonaws.Region.bedrock des Schnittstellenendpunkts Service veraltet. Erstellen Sie einen neuen VPC Endpunkt mit dem in der vorherigen Tabelle aufgeführten Dienstnamen.

Darüber hinaus können Sie ohne Internetzugang keine Feinabstimmung von Foundation-Modellen in Canvas VPCs vornehmen. Dies liegt daran, dass Amazon Bedrock keine VPC Endpunkte für die Modellanpassung unterstützt. APIs Weitere Informationen zur Feinabstimmung von Basismodellen in Canvas finden Sie unter. Optimieren Sie die Basismodelle

Sie müssen auch eine Endpunktrichtlinie für Amazon S3 hinzufügen, um den AWS Prinzipalzugriff auf Ihren VPC Endpunkt zu kontrollieren. Informationen zur Aktualisierung Ihrer VPC Endpunktrichtlinie finden Sie unter Steuern des Zugriffs auf Endgeräte mithilfe von VPC Endpunktrichtlinien.

Im Folgenden sind zwei VPC Endpunktrichtlinien aufgeführt, die Sie verwenden können. Verwenden Sie die erste Richtlinie, wenn Sie nur Zugriff auf die grundlegenden Funktionen von Canvas gewähren möchten, z. B. auf das Importieren von Daten und das Erstellen von Modellen. Verwenden Sie die zweite Richtlinie, wenn Sie Zugriff auf die zusätzlichen generativen KI-Funktionen in Canvas gewähren möchten.

Basic VPC endpoint policy

Die folgende Richtlinie gewährt den erforderlichen Zugriff auf Ihren VPC Endpunkt für grundlegende Operationen in Canvas.

{ "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }
Generative AI VPC endpoint policy

Die folgende Richtlinie gewährt den erforderlichen Zugriff auf Ihren VPC Endpunkt für grundlegende Operationen in Canvas sowie für die Verwendung generativer KI-Grundmodelle.

{ "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*fmeval/datasets*", "arn:aws:s3:::*jumpstart-cache-prod*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }

Schritt 3: Erteilen IAM Sie Berechtigungen

Der SageMaker Canvas-Benutzer muss über die erforderlichen AWS Identity and Access Management Berechtigungen verfügen, um eine Verbindung zu den VPC Endpunkten herzustellen. Die IAM Rolle, der Sie Berechtigungen erteilen, muss dieselbe sein, die Sie beim Onboarding in die SageMaker Amazon-Domain verwendet haben. Sie können die SageMaker verwaltete AmazonSageMakerFullAccess Richtlinie an die IAM Rolle anhängen, damit der Benutzer dem Benutzer die erforderlichen Berechtigungen erteilt. Wenn Sie restriktivere IAM Berechtigungen benötigen und stattdessen benutzerdefinierte Richtlinien verwenden, geben Sie der Rolle des Benutzers die ec2:DescribeVpcEndpointServices entsprechende Berechtigung. SageMaker Canvas benötigt diese Berechtigungen, um zu überprüfen, ob die erforderlichen VPC Endpunkte für Standard-Build-Jobs vorhanden sind. Wenn es diese VPC Endpunkte erkennt, werden Standard-Build-Jobs standardmäßig in Ihrem ausgeführt. VPC Andernfalls werden sie standardmäßig in der AWS verwalteten VPC Version ausgeführt.

Anweisungen zum Anhängen der AmazonSageMakerFullAccess IAM Richtlinie an die IAM Rolle Ihres Benutzers finden Sie unter Hinzufügen und Entfernen von IAM Identitätsberechtigungen.

Gehen Sie wie folgt vor, um der IAM Rolle Ihres Benutzers detaillierte ec2:DescribeVpcEndpointServices Berechtigungen zu erteilen.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAMKonsole.

  2. Wählen Sie im Navigationsbereich Rollen aus.

  3. Wählen Sie in der Liste den Namen der Rolle, der Sie Berechtigungen erteilen möchten.

  4. Wählen Sie die Registerkarte Berechtigungen.

  5. Wählen Sie Add permissions (Berechtigungen hinzufügen) und dann Create inline policy (Inline-Richtlinie erstellen) aus.

  6. Wählen Sie die JSONRegisterkarte und geben Sie die folgende Richtlinie ein, die die ec2:DescribeVpcEndpointServices Erlaubnis erteilt:

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:DescribeVpcEndpointServices", "Resource": "*" } ] }
  7. Wählen Sie Überprüfungsrichtlinie, und geben Sie einen Namen für die Richtlinie ein (z. B. VPCEndpointPermissions).

  8. Wählen Sie Create Policy (Richtlinie erstellen) aus.

Die IAM Rolle des Benutzers sollte nun über Berechtigungen für den Zugriff auf die in Ihrem VPC konfigurierten VPC Endgeräte verfügen.

(Optional) Schritt 4: Überschreiben der Sicherheitsgruppeneinstellungen für bestimmte Benutzer

Wenn Sie ein Administrator sind, möchten Sie möglicherweise, dass verschiedene Benutzer unterschiedliche oder benutzerspezifische VPC VPC Einstellungen haben. Wenn Sie die standardmäßigen VPC Sicherheitsgruppeneinstellungen für einen bestimmten Benutzer überschreiben, werden diese Einstellungen an die SageMaker Canvas-Anwendung für diesen Benutzer weitergegeben.

Sie können die Sicherheitsgruppen, auf die ein bestimmter Benutzer Zugriff hat, in Ihrem überschreiben, VPC wenn Sie ein neues Benutzerprofil in Studio Classic einrichten. Sie können den CreateUserProfile SageMaker APIAufruf (oder create_user_profile mit dem AWS CLI) verwenden und dann in der den UserSettings für den SecurityGroups Benutzer angeben.