Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Stellen Sie über einen VPC Schnittstellen-Endpunkt eine Connect zu Amazon SageMaker Studio und Studio Classic her
Sie können von Ihrer Amazon Amazon SageMaker Virtual Private Cloud (AmazonVPC) aus über einen Schnittstellenendpunkt in Ihrem eine Verbindung zu Ihrem Amazon SageMaker Studio und Amazon Studio Classic herstellen, VPC anstatt eine Verbindung über das Internet herzustellen. Wenn Sie einen VPC Schnittstellenendpunkt (Schnittstellenendpunkt) verwenden, erfolgt die Kommunikation zwischen Ihnen VPC und Studio oder Studio Classic vollständig und sicher innerhalb des AWS Netzwerks.
Studio und Studio Classic unterstützen Schnittstellenendpunkte, die von AWS PrivateLinkbetrieben werden. Jeder Schnittstellenendpunkt wird durch eine oder mehrere Elastic Network-Schnittstellen mit privaten IP-Adressen in Ihren VPC Subnetzen repräsentiert.
Studio und Studio Classic unterstützen Schnittstellenendpunkte in allen AWS Regionen, in denen SageMaker sowohl Amazon
Themen
Erstellen eines VPC-Endpunkts
Sie können einen Schnittstellenendpunkt erstellen, um mit der AWS Konsole oder der AWS Command Line Interface (AWS CLI) eine Verbindung zu Studio oder Studio Classic herzustellen. Anweisungen finden Sie unter Erstellen eines Schnittstellenendpunkts. Stellen Sie sicher, dass Sie Schnittstellenendpunkte für alle Subnetze in Ihrem System erstellen, VPC von denen aus Sie eine Verbindung zu Studio und Studio Classic herstellen möchten.
Wenn Sie einen Schnittstellenendpunkt erstellen, stellen Sie sicher, dass die Sicherheitsgruppen auf Ihrem Endpunkt eingehenden Zugriff für den HTTPS Datenverkehr von den Sicherheitsgruppen zulassen, die Studio und Studio Classic zugeordnet sind. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Dienste mit VPC Endpunkten.
Anmerkung
Erstellen Sie nicht nur einen Schnittstellenendpunkt für die Verbindung mit Studio und Studio Classic, sondern auch einen Schnittstellenendpunkt für die Verbindung mit Amazon SageMaker API. Wenn Benutzer anrufen CreatePresignedDomainUrl, um die Verbindung URL zu Studio und Studio Classic herzustellen, erfolgt dieser Aufruf über den Schnittstellenendpunkt, der für die Verbindung mit dem verwendet wurde SageMaker API.
Wenn Sie den Schnittstellenendpunkt erstellen, geben Sie aws.sagemaker. als Dienstnamen entweder Studio oder Studio Classic an. Nachdem Sie den Schnittstellenendpunkt erstellt haben, aktivieren Sie Private DNS für Ihren Endpunkt. Wenn Sie VPC über die, die oder die Konsole eine Verbindung zu Studio oder Studio Classic herstellen AWS CLI, stellen Sie die Verbindung über den Schnittstellenendpunkt statt über das öffentliche Internet her. SageMaker API Sie müssen auch eine benutzerdefinierte DNS mit privaten gehosteten Zonen für den VPC Amazon-Endpunkt einrichten, damit Studio oder Studio Classic SageMaker API über den Region.studioapi.sagemaker.$region.amazonaws.com Endpunkt darauf zugreifen können, anstatt den VPC Endpunkt zu verwendenURL. Anweisungen zum Einrichten einer privat gehosteten Zone finden Sie unter Arbeiten mit privat gehosteten Zonen.
Erstellen Sie eine VPC Endpunktrichtlinie für Studio oder Studio Classic
Sie können eine VPC Amazon-Endpunktrichtlinie an die VPC Schnittstellenendpunkte anhängen, die Sie für die Verbindung mit Studio oder Studio Classic verwenden. Die Endpunktrichtlinie steuert den Zugriff auf Studio oder Studio Classic. Sie können folgende Formen angeben:
-
Prinzipal, der die Aktionen ausführen kann.
-
Aktionen, die ausgeführt werden können
-
Die Ressourcen, für die Aktionen ausgeführt werden können.
Um einen VPC Endpunkt mit Studio oder Studio Classic zu verwenden, muss Ihre Endpunktrichtlinie den CreateApp Vorgang für den KernelGateway App-Typ zulassen. Dadurch kann der Datenverkehr, der über den VPC Endpunkt geleitet wird, den CreateApp API aufrufen. Das folgende Beispiel für eine VPC Endpunktrichtlinie zeigt, wie der CreateApp Vorgang zugelassen wird.
{ "Statement": [ { "Action": "sagemaker:CreateApp", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*", "Principal": "*" } ] }
Weitere Informationen finden Sie unter Steuern des Zugriffs auf Dienste mit VPC Endpunkten.
Das folgende Beispiel für eine VPC Endpunktrichtlinie legt fest, dass alle Benutzer, die Zugriff auf den Endpunkt haben, auf die Benutzerprofile in der SageMaker Domäne mit der angegebenen Domänen-ID zugreifen dürfen. Der Zugriff auf andere Domains wird abgelehnt.
{ "Statement": [ { "Action": "sagemaker:CreatePresignedDomainUrl", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*", "Principal": "*" } ] }
Erlauben Sie den Zugriff nur von Ihrem VPC
Benutzer außerhalb Ihres Unternehmens VPC können über das Internet eine Verbindung zu Studio oder Studio Classic herstellen, auch wenn Sie in Ihrem einen Schnittstellenendpunkt eingerichtet habenVPC.
Um den Zugriff nur auf Verbindungen zu ermöglichen, die von Ihrem aus hergestellt wurdenVPC, erstellen Sie eine entsprechende Richtlinie AWS Identity and Access Management (IAM). Fügen Sie diese Richtlinie allen Benutzern, Gruppen oder Rollen hinzu, die für den Zugriff auf Studio oder Studio Classic verwendet werden. Diese Funktion wird nur unterstützt, wenn der IAM Authentifizierungsmodus verwendet wird, und wird im IAM Identity Center-Modus nicht unterstützt. Die folgenden Beispiele veranschaulichen, wie solche Richtlinien erstellt werden.
Wichtig
Wenn Sie eine IAM Richtlinie anwenden, die einem der folgenden Beispiele ähnelt, können Benutzer nicht SageMaker APIs über die SageMaker Konsole auf Studio oder Studio Classic oder die angegebene Version zugreifen. Um auf Studio oder Studio Classic zuzugreifen, müssen Benutzer eine vorsignierte Version verwenden URL oder sie SageMaker APIs direkt anrufen.
Beispiel 1: Verbindungen nur innerhalb des Subnetzes eines Schnittstellenendpunkts zulassen
Die folgende Richtlinie erlaubt nur Verbindungen zu Anrufern innerhalb des Teilnetzes, in dem Sie den Schnittstellenendpunkt erstellt haben.
{ "Id": "sagemaker-studio-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc":"vpc-111bbaaa"} } } ] }
Beispiel 2: Verbindungen nur über Schnittstellenendpunkte zulassen mit aws:sourceVpce
Die folgende Richtlinie erlaubt nur Verbindungen zu Verbindungen, die über die durch den aws:sourceVpce Bedingungsschlüssel angegebenen Schnittstellenendpunkte hergestellt werden. Beispielsweise könnte der erste Schnittstellenendpunkt den Zugriff über die SageMaker Konsole ermöglichen. Der zweite Schnittstellenendpunkt könnte den Zugriff über die ermöglichen SageMaker API.
{ "Id": "sagemaker-studio-example-2", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": ["vpce-111bbccc","vpce-111bbddd"] } } } ] }
Diese Richtlinie muss auch die Aktion DescribeUserProfile enthalten. Normalerweise rufen Sie DescribeUserProfile auf, um sicherzustellen, dass der Status des Benutzerprofils InService ist, bevor Sie versuchen, eine Verbindung zur Domain herzustellen. Beispielsweise:
aws sagemaker describe-user-profile \ --domain-iddomain-id\ --user-profile-nameprofile-name
Antwort:
{ "DomainId": "domain-id", "UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name", "UserProfileName": "profile-name", "HomeEfsFileSystemUid": "200001", "Status": "InService", "LastModifiedTime": 1605418785.555, "CreationTime": 1605418477.297 }
aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name
Antwort:
{ "AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken" }
Wenn Sie für diese beiden Aufrufe eine Version von verwenden, AWS SDK die vor dem 13. August 2018 veröffentlicht wurde, müssen Sie den Endpunkt URL im Aufruf angeben. Das folgende Beispiel zeigt einen Aufruf an create-presigned-domain-url:
aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name\ --endpoint-urlvpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com
Beispiel 3: Verbindungen von IP-Adressen zulassen mit aws:SourceIp
Die folgende Richtlinie erlaubt nur Verbindungen aus dem angegebenen IP-Adressbereich unter Verwendung des aws:SourceIp Bedingungsschlüssels.
{ "Id": "sagemaker-studio-example-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "IpAddress": { "aws:SourceIp": ["192.0.2.0/24","203.0.113.0/24"] } } } ] }
Beispiel 4: Verbindungen von IP-Adressen über einen Schnittstellenendpunkt zulassen mit aws:VpcSourceIp
Wenn Sie über einen Schnittstellenendpunkt auf Studio oder Studio Classic zugreifen, können Sie den aws:VpcSourceIp Bedingungsschlüssel verwenden, um nur Verbindungen aus dem angegebenen IP-Adressbereich innerhalb des Subnetzes zuzulassen, in dem Sie den Schnittstellenendpunkt erstellt haben, wie in der folgenden Richtlinie dargestellt:
{ "Id": "sagemaker-studio-example-4", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "IpAddress": { "aws:VpcSourceIp": ["192.0.2.0/24","203.0.113.0/24"] }, "StringEquals": { "aws:SourceVpc":"vpc-111bbaaa"} } } ] }
