Konfigurieren Sie den Netzwerkzugriff zwischen Studio und Datenquellen (für Administratoren) - Amazon SageMaker KI
Studio und der Datenspeicher werden getrennt VPCsStudio und der Datenspeicher in derselben VPCStudio und der Datenspeicher kommunizieren über das öffentliche Internet

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren Sie den Netzwerkzugriff zwischen Studio und Datenquellen (für Administratoren)

Dieser Abschnitt enthält Informationen darüber, wie Administratoren ein Netzwerk konfigurieren können, um die Kommunikation zwischen Amazon SageMaker Studio und Amazon Redshift oder Amazon Athena entweder innerhalb einer privaten Amazon VPC oder über das Internet zu ermöglichen. Die Netzwerkanweisungen variieren je nachdem, ob die Studio-Domain und der Datenspeicher in einer privaten Amazon Virtual Private Cloud (VPC) bereitgestellt werden oder über das Internet kommunizieren.

Standardmäßig wird Studio in einer AWS verwalteten VPC mit Internetzugang ausgeführt. Bei Verwendung einer Internetverbindung greift Studio über das Internet auf AWS Ressourcen wie Amazon S3 S3-Buckets zu. Wenn Sie jedoch Sicherheitsanforderungen haben, um den Zugriff auf Ihre Daten und Jobcontainer zu kontrollieren, empfehlen wir Ihnen, Studio und Ihren Datenspeicher (Amazon Redshift oder Athena) so zu konfigurieren, dass Ihre Daten und Container nicht über das Internet zugänglich sind. Um den Zugriff auf Ihre Ressourcen zu kontrollieren oder Studio ohne öffentlichen Internetzugang auszuführen, können Sie beim Onboarding in die Amazon SageMaker AI-Domain den VPC only Netzwerkzugriffstyp angeben. In diesem Szenario stellt Studio Verbindungen mit anderen AWS Diensten über private VPC-Endpunkte her. Informationen zur Konfiguration von Studio im VPC only Modus finden Sie unter Studio mit externen Ressourcen in einer VPC verbinden.

Anmerkung

Um eine Verbindung zu Snowflake herzustellen, muss die VPC der Studio-Domain über Internetzugang verfügen.

In den ersten beiden Abschnitten wird beschrieben, wie Sie die Kommunikation zwischen Ihrer Studio-Domain und Ihrem Datenspeicher VPCs ohne öffentlichen Internetzugang sicherstellen können. Im letzten Abschnitt wird beschrieben, wie Sie die Kommunikation zwischen Studio und Ihrem Datenspeicher über eine Internetverbindung sicherstellen können. Bevor Sie Studio und Ihren Datenspeicher ohne Internetzugang verbinden, stellen Sie sicher, dass Sie Endpunkte für Amazon Simple Storage Service, Amazon Redshift oder Athena, SageMaker AI und für Amazon und AWS CloudTrail (Protokollierung CloudWatch und Überwachung) einrichten.

Studio und der Datenspeicher werden getrennt bereitgestellt VPCs

Gehen Sie wie folgt vor, um die Kommunikation zwischen Studio und einem Datenspeicher zu ermöglichen, der in unterschiedlichen Umgebungen bereitgestellt wird VPCs:

  1. Stellen Sie zunächst eine VPC-Peering-Verbindung her. VPCs

  2. Aktualisieren Sie die Routingtabellen in jeder VPC, um bidirektionalen Netzwerkverkehr zwischen Studio-Subnetzen und den Datenspeicher-Subnetzen zu ermöglichen.

  3. Konfigurieren Sie Ihre VPC-Sicherheitsgruppen so, dass ein- und ausgehender Datenverkehr zugelassen sind.

Die Konfigurationsschritte sind dieselben, unabhängig davon, ob Studio und der Datenspeicher in einem einzigen AWS Konto oder für verschiedene Konten bereitgestellt werden. AWS

  1. VPC-Peering

    Erstellen Sie eine VPC-Peering-Verbindung, um die Vernetzung zwischen den beiden VPCs (Studio und dem Datenspeicher) zu erleichtern.

    1. Wählen Sie im Studio-Konto im VPC-Dashboard Peering-Verbindungen und dann Peering-Verbindung erstellen aus.

    2. Erstellen Sie Ihre Anfrage, um die Studio-VPC mit der Datenspeicher-VPC VPC. Wenn Sie Peering für ein anderes AWS Konto anfordern, wählen Sie unter Andere VPC für Peering auswählen die Option Anderes Konto aus.

      Für kontenübergreifendes Peering muss der Administrator die Anfrage vom SQL Engine-Konto akzeptieren.

      Beim Peering privater Subnetze sollten Sie die Auflösung der privaten IP-DNS an der VPC-Peering-Verbindungsebene aktivieren.

  2. Routing-Tabellen

    Konfigurieren Sie das Routing so, dass Netzwerkverkehr zwischen Studio- und Datenspeicher-VPC-Subnetzen in beide Richtungen zugelassen wird.

    Nachdem Sie die Peering-Verbindung hergestellt haben, kann der Administrator (für jedes Konto für kontoübergreifenden Zugriff) Routen zu den Routingtabellen für private Subnetze hinzufügen, um den Verkehr zwischen Studio und den Subnetzen des Datenspeichers weiterzuleiten. VPCs Diese Routen können Sie festlegen, indem Sie den Abschnitt Routing-Tabellen jeder VPC im VPC-Dashboard aufrufen.

  3. Sicherheitsgruppen

    Schließlich muss die Sicherheitsgruppe der Domain-VPC von Studio ausgehenden Datenverkehr zulassen, und die Sicherheitsgruppe der VPC des Datenspeichers muss eingehenden Verkehr auf Ihrem Datenspeicher-Port von der VPC-Sicherheitsgruppe von Studio zulassen.

Studio und der Datenspeicher werden in derselben VPC bereitgestellt

Wenn sich Studio und der Datenspeicher in unterschiedlichen privaten Subnetzen derselben VPC befinden, fügen Sie der Routentabelle jedes privaten Subnetzes Routen hinzu. Die Routen sollten den Verkehr zwischen den Studio-Subnetzen und den Datenspeicher-Subnetzen ermöglichen. Diese Routen können Sie festlegen, indem Sie den Abschnitt Routing-Tabellen jeder VPC im VPC-Dashboard aufrufen. Wenn Sie Studio und den Datenspeicher in derselben VPC und demselben Subnetz bereitgestellt haben, müssen Sie den Datenverkehr nicht weiterleiten.

Unabhängig von Aktualisierungen der Routingtabelle muss die Sicherheitsgruppe der Domain-VPC von Studio ausgehenden Datenverkehr zulassen, und die Sicherheitsgruppe der VPC des Datenspeichers muss eingehenden Verkehr auf ihrem Port von der VPC-Sicherheitsgruppe von Studio zulassen.

Studio und der Datenspeicher kommunizieren über das öffentliche Internet

Standardmäßig bietet Studio eine Netzwerkschnittstelle, die die Kommunikation mit dem Internet über ein Internet-Gateway in der VPC ermöglicht, die der Studio-Domäne zugeordnet ist. Wenn Sie sich dafür entscheiden, über das öffentliche Internet eine Verbindung zu Ihrem Datenspeicher herzustellen, muss Ihr Datenspeicher eingehenden Datenverkehr über seinen Port akzeptieren.

Ein NAT-Gateway muss verwendet werden, um Instances in privaten Subnetzen mit mehreren Subnetzen die gemeinsame Nutzung einer einzigen öffentlichen IP-Adresse VPCs zu ermöglichen, die vom Internet-Gateway beim Zugriff auf das Internet bereitgestellt wird.

Anmerkung

Jeder Port, der für eingehenden Verkehr geöffnet wird, stellt ein potenzielles Sicherheitsrisiko dar. Überprüfen Sie sorgfältig die benutzerdefinierten Sicherheitsgruppen, um Schwachstellen zu minimieren.