Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Stellen Sie über einen VPC Schnittstellen-Endpunkt eine Connect zu einer Notebook-Instanz her
Sie können VPC über einen Schnittstellenendpunkt in Ihrer Virtual Private Cloud (VPC) eine Verbindung zu Ihrer Notebook-Instanz herstellen, anstatt eine Verbindung über das öffentliche Internet herzustellen. Wenn Sie einen VPC Schnittstellenendpunkt verwenden, erfolgt die Kommunikation zwischen Ihrer VPC und der Notebook-Instanz vollständig und sicher innerhalb des AWS Netzwerks.
SageMaker Notebook-Instances unterstützen Endpunkte der Amazon Virtual Private Cloud (AmazonVPC) -Schnittstelle, die von AWS PrivateLinkbetrieben werden. Jeder VPC Endpunkt wird durch eine oder mehrere Elastic Network Interfaces mit privaten IP-Adressen in Ihren VPC Subnetzen repräsentiert.
Anmerkung
Bevor Sie einen VPC Schnittstellenendpunkt für die Verbindung mit einer Notebook-Instance erstellen, erstellen Sie einen VPC Schnittstellenendpunkt für die Verbindung mit der SageMaker API. Auf diese Weise, wenn Benutzer anrufen CreatePresignedNotebookInstanceUrlum die Verbindung URL zur Notebook-Instanz herzustellen, geht dieser Aufruf auch über den VPC Schnittstellenendpunkt. Weitere Informationen finden Sie unter Connect zu SageMaker KI innerhalb Ihres her VPC.
Sie können einen Schnittstellenendpunkt erstellen, um mit der Notebook-Instanz entweder mit den Befehlen AWS Management Console oder AWS Command Line Interface (AWS CLI) eine Verbindung zu Ihrer Notebook-Instanz herzustellen. Anweisungen finden Sie unter Erstellen eines Schnittstellenendpunkts. Stellen Sie sicher, dass Sie einen Schnittstellenendpunkt für alle Subnetze in Ihrem System erstellen, VPC von denen aus Sie eine Verbindung zur Notebook-Instanz herstellen möchten.
Wenn Sie den Schnittstellenendpunkt erstellen, geben Sie aws.sagemaker an. Region.notebook als Dienstnamen. Nachdem Sie einen VPC Endpunkt erstellt haben, aktivieren Sie Private DNS für Ihren VPC Endpunkt. Jeder SageMaker API, der die, oder die Konsole verwendet AWS CLI, um von dort aus eine Verbindung zur Notebook-Instanz herzustellen, VPC stellt über den VPC Endpunkt statt über das öffentliche Internet eine Verbindung zur Notebook-Instanz her.
SageMaker Notebook-Instances unterstützen VPC Endpunkte überall AWS-Regionen dort, wo VPC sowohl Amazon als auch SageMaker KI verfügbar sind.
Themen
Connect Sie Ihr privates Netzwerk mit Ihrem VPC
Um über Ihren eine Verbindung zu Ihrer Notebook-Instance herzustellenVPC, müssen Sie entweder eine Verbindung von einer Instance herstellenVPC, die sich innerhalb von befindet, oder Ihr privates Netzwerk mit Ihrem verbinden, VPC indem Sie ein AWS Virtual Private Network (AWS VPN) oder verwenden AWS Direct Connect. Weitere Informationen dazu AWS VPN finden Sie unter VPNVerbindungen im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch. Weitere Informationen dazu AWS Direct Connect finden Sie unter Verbindung herstellen im AWS Direct Connect-Benutzerhandbuch.
Erstellen Sie eine VPC Endpunktrichtlinie für SageMaker AI Notebook-Instanzen
Sie können eine Richtlinie für VPC Amazon-Endpunkte für SageMaker Notebook-Instances erstellen, um Folgendes festzulegen:
-
Prinzipal, der die Aktionen ausführen kann.
-
Aktionen, die ausgeführt werden können
-
Die Ressourcen, für die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter Controlling Access to Services with VPC Endpoints im VPCAmazon-Benutzerhandbuch.
Das folgende Beispiel für eine VPC Endpunktrichtlinie legt fest, dass alle Benutzer, die Zugriff auf den Endpunkt haben, auf die angegebene myNotebookInstance Notebook-Instance zugreifen dürfen.
{ "Statement": [ { "Action": "sagemaker:CreatePresignedNotebookInstanceUrl", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance", "Principal": "*" } ] }
Der Zugriff auf weitere Notebook-Instances wird verweigert.
Beschränken Sie den Zugriff auf Verbindungen von Ihrem VPC
Selbst wenn Sie in Ihrem Computer einen Schnittstellenendpunkt eingerichtet habenVPC, VPC können sich Personen außerhalb des Systems über das Internet mit der Notebook-Instanz verbinden.
Wichtig
Wenn Sie eine IAM Richtlinie anwenden, die einer der folgenden ähnelt, können Benutzer nicht über die Konsole auf die angegebene Instanz SageMaker APIs oder die Notebook-Instanz zugreifen.
Um den Zugriff nur auf Verbindungen zu beschränken, die von Ihrem aus hergestellt werdenVPC, erstellen Sie eine AWS Identity and Access Management Richtlinie, die den Zugriff auf Anrufe beschränkt, die von Ihrem VPC aus kommen. Fügen Sie diese Richtlinie dann allen AWS Identity and Access Management Benutzern, Gruppen oder Rollen hinzu, die für den Zugriff auf die Notebook-Instanz verwendet werden.
Anmerkung
Diese Richtlinie erlaubt Verbindungen nur zu Aufrufern innerhalb eines Subnetzes, in dem Sie einen Schnittstellendpunkt erstellt haben.
{ "Id": "notebook-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable Notebook Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedNotebookInstanceUrl", "sagemaker:DescribeNotebookInstance" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-111bbaaa" } } } ] }
Wenn Sie den Zugriff auf die Notebook-Instance auf Verbindungen beschränken möchten, die über den Schnittstellenendpunkt hergestellt werden, verwenden Sie den aws:SourceVpce-Bedingungsschlüssel anstelle von aws:SourceVpc:
{ "Id": "notebook-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable Notebook Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedNotebookInstanceUrl", "sagemaker:DescribeNotebookInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": [ "vpce-111bbccc", "vpce-111bbddd" ] } } } ] }
Bei beiden Richtlinienbeispielen wird davon ausgegangen, dass Sie auch einen Schnittstellenendpunkt für die erstellt haben SageMaker API. Weitere Informationen finden Sie unter Connect zu SageMaker KI innerhalb Ihres her VPC. Im zweiten Beispiel ist einer der Werte für aws:SourceVpce die ID des Schnittstellenendpunkts für die Notebook-Instance. Die andere ist die ID des Schnittstellenendpunkts für SageMaker API.
Zu den hier aufgeführten Richtlinienbeispielen gehören
DescribeNotebookInstance, weil Sie normalerweise anrufen, DescribeNotebookInstance um sicherzustellen, dass der vorhanden NotebookInstanceStatus ist, InService bevor Sie versuchen, eine Verbindung herzustellen. Beispielsweise:
aws sagemaker describe-notebook-instance \ --notebook-instance-name myNotebookInstance { "NotebookInstanceArn": "arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance", "NotebookInstanceName": "myNotebookInstance", "NotebookInstanceStatus": "InService", "Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws", "InstanceType": "ml.m4.xlarge", "RoleArn": "arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456", "LastModifiedTime": 1540334777.501, "CreationTime": 1523050674.078, "DirectInternetAccess": "Disabled" } aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance { "AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=AuthToken}
Anmerkung
Das generierte presigned-notebook-instance-url, AuthorizedUrl, kann von überall im Internet genutzt werden.
Wenn Sie bei beiden Aufrufen keine privaten DNS Hostnamen für Ihren VPC Endpunkt aktiviert haben oder wenn Sie eine Version von verwenden, AWS SDK die vor dem 13. August 2018 veröffentlicht wurde, müssen Sie den Endpunkt URL im Aufruf angeben. Zum Beispiel lautet der Aufruf von create-presigned-notebook-instance-url:
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-namemyNotebookInstance--endpoint-urlVPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
