Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Herstellen einer Verbindung zu einer Notebook-Instance über einen VPC-Schnittstellenendpunkt
Anstatt eine Verbindung über das Internet herzustellen, können Sie einen Schnittstellenendpunkt in Ihrer Virtual Private Cloud (VPC) für die Verbindung mit Ihrer Notebook-Instance verwenden. Wenn Sie einen VPC-Schnittstellenendpunkt verwenden, erfolgt die Kommunikation zwischen Ihrer VPC und der Notebook-Instance vollständig und sicher über das AWS -Netzwerk.
SageMaker Notebook-Instances unterstützen Endpunkte der Amazon Virtual Private Cloud (Amazon VPC) -Schnittstelle, die von betrieben werden. AWS PrivateLink Jeder VPC-Endpunkt wird durch eine oder mehrere Elastic Network-Schnittstellen mit privaten IP-Adressen in Ihren VPC-Subnetzen repräsentiert.
Anmerkung
Bevor Sie einen VPC-Schnittstellen-Endpunkt für die Verbindung mit einer Notebook-Instance erstellen, erstellen Sie einen Schnittstellen-VPC-Endpunkt, um eine Verbindung zur SageMaker API herzustellen. Auf diese Weise, wenn Benutzer anrufen CreatePresignedNotebookInstanceUrlum die URL für die Verbindung mit der Notebook-Instance abzurufen, erfolgt dieser Aufruf auch über den VPC-Endpunkt der Schnittstelle. Weitere Informationen finden Sie unter Connect zu SageMaker KI in Ihrer VPC her.
Sie können einen Schnittstellenendpunkt erstellen, um mit der Notebook-Instanz entweder mit den Befehlen AWS Management Console oder AWS Command Line Interface (AWS CLI) eine Verbindung zu Ihrer Notebook-Instanz herzustellen. Anweisungen finden Sie unter Erstellen eines Schnittstellenendpunkts. Stellen Sie sicher, dass Sie einen Schnittstellenendpunkt für alle Subnetze in Ihrer VPC erstellen, von dem aus Sie sich mit der Notebook-Instance verbinden möchten.
Wenn Sie den Schnittstellenendpunkt erstellen, geben Sie aws.sagemaker an. Region
.notebook als Dienstnamen. Nachdem Sie einen VPC-Endpunkt erstellt haben, aktivieren Sie das private DNS für Ihren VPC-Endpunkt. Jeder, der die SageMaker API, die oder die Konsole verwendet AWS CLI, um von der VPC aus eine Verbindung zur Notebook-Instance herzustellen, stellt über den VPC-Endpunkt statt über das öffentliche Internet eine Verbindung zur Notebook-Instance her.
SageMaker Notebook-Instances unterstützen VPC-Endpunkte überall dort, AWS-Regionen wo sowohl Amazon VPC als auch SageMaker KI verfügbar sind.
Themen
Verbinden Ihres privaten Netzwerks mit Ihrer VPC
Um über Ihre VPC eine Verbindung zu Ihrer Notebook-Instance herzustellen, müssen Sie entweder eine Verbindung von einer Instance innerhalb der VPC herstellen oder Ihr privates Netzwerk mit Ihrer VPC verbinden, indem Sie ein AWS Virtual Private Network ()AWS VPN oder verwenden. AWS Direct Connect Weitere Informationen dazu AWS VPN finden Sie unter VPN-Verbindungen im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch. Weitere Informationen dazu AWS Direct Connect finden Sie unter Verbindung erstellen im AWS Direct Connect-Benutzerhandbuch.
Erstellen Sie eine VPC-Endpunktrichtlinie für SageMaker AI Notebook-Instances
Sie können eine Richtlinie für Amazon VPC-Endpunkte für SageMaker Notebook-Instances erstellen, um Folgendes anzugeben:
-
Prinzipal, der die Aktionen ausführen kann.
-
Aktionen, die ausgeführt werden können
-
Die Ressourcen, für die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon VPC User Guide.
Das folgende Beispiel einer VPC-Endpunktrichtlinie gibt an, dass alle Benutzer, die Zugriff auf den Endpunkt haben, auch auf die Notebook-Instance mit dem Namen myNotebookInstance
zugreifen können.
{ "Statement": [ { "Action": "sagemaker:CreatePresignedNotebookInstanceUrl", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance", "Principal": "*" } ] }
Der Zugriff auf weitere Notebook-Instances wird verweigert.
Beschränken des Zugriffs auf Verbindungen von innerhalb Ihrer VPC
Selbst wenn Sie einen Schnittstellenendpunkt in Ihrer VPC einrichten, können Benutzer außerhalb der VPC sich über das Internet mit der Notebook-Instance verbinden.
Wichtig
Wenn Sie eine IAM-Richtlinie anwenden, die einer der folgenden ähnelt, können Benutzer nicht über die Konsole auf die angegebene Instance SageMaker APIs oder die Notebook-Instance zugreifen.
Zum Beschränken des Zugriffs ausschließlich auf Verbindungen von innerhalb Ihrer VPC erstellen Sie eine AWS Identity and Access Management -Richtlinie, die den Zugriff ausschließlich auf Aufrufe beschränkt, die von innerhalb Ihrer VPC ausgehen. Fügen Sie diese Richtlinie dann allen AWS Identity and Access Management Benutzern, Gruppen oder Rollen hinzu, die für den Zugriff auf die Notebook-Instanz verwendet werden.
Anmerkung
Diese Richtlinie erlaubt Verbindungen nur zu Aufrufern innerhalb eines Subnetzes, in dem Sie einen Schnittstellendpunkt erstellt haben.
{ "Id": "notebook-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable Notebook Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedNotebookInstanceUrl", "sagemaker:DescribeNotebookInstance" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-111bbaaa" } } } ] }
Wenn Sie den Zugriff auf die Notebook-Instance auf Verbindungen beschränken möchten, die über den Schnittstellenendpunkt hergestellt werden, verwenden Sie den aws:SourceVpce
-Bedingungsschlüssel anstelle von aws:SourceVpc:
{ "Id": "notebook-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable Notebook Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedNotebookInstanceUrl", "sagemaker:DescribeNotebookInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": [ "vpce-111bbccc", "vpce-111bbddd" ] } } } ] }
Bei beiden Richtlinienbeispielen wird davon ausgegangen, dass Sie auch einen Schnittstellenendpunkt für die SageMaker API erstellt haben. Weitere Informationen finden Sie unter Connect zu SageMaker KI in Ihrer VPC her. Im zweiten Beispiel ist einer der Werte für aws:SourceVpce
die ID des Schnittstellenendpunkts für die Notebook-Instance. Die andere ist die ID des Schnittstellenendpunkts für die SageMaker API.
Zu den hier aufgeführten Richtlinienbeispielen gehören
DescribeNotebookInstance, weil Sie normalerweise anrufen, DescribeNotebookInstance
um sicherzustellen, dass der vorhanden NotebookInstanceStatus
ist, InService
bevor Sie versuchen, eine Verbindung herzustellen. Zum Beispiel:
aws sagemaker describe-notebook-instance \ --notebook-instance-name myNotebookInstance { "NotebookInstanceArn": "arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance", "NotebookInstanceName": "myNotebookInstance", "NotebookInstanceStatus": "InService", "Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws", "InstanceType": "ml.m4.xlarge", "RoleArn": "arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456", "LastModifiedTime": 1540334777.501, "CreationTime": 1523050674.078, "DirectInternetAccess": "Disabled" } aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance { "AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=
AuthToken
}
Anmerkung
Das generierte presigned-notebook-instance-url
, AuthorizedUrl
, kann von überall im Internet genutzt werden.
Wenn Sie für diese beiden Aufrufe keine privaten DNS-Hostnamen für Ihren VPC-Endpunkt aktiviert haben oder wenn Sie eine Version des AWS SDK verwenden, die vor dem 13. August 2018 veröffentlicht wurde, müssen Sie die Endpunkt-URL im Aufruf angeben. Zum Beispiel lautet der Aufruf von create-presigned-notebook-instance-url
:
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name
myNotebookInstance
--endpoint-urlVPC_Endpoint_ID
.api.sagemaker.Region
.vpce.amazonaws.com