Configure Amazon SageMaker Canvas VPC sin acceso a Internet - Amazon SageMaker
Configure Amazon SageMaker Canvas VPC sin acceso a Internet

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configure Amazon SageMaker Canvas VPC sin acceso a Internet

La aplicación Amazon SageMaker Canvas se ejecuta en un contenedor de una Amazon Virtual Private Cloud (VPC) AWS gestionada. Si desea controlar aún más el acceso a sus recursos o ejecutar SageMaker Canvas sin acceso público a Internet, puede configurar su SageMaker dominio y sus VPC ajustes de Amazon. De forma independienteVPC, puede configurar ajustes como los grupos de seguridad (firewalls virtuales que controlan el tráfico entrante y saliente de las EC2 instancias de Amazon) y las subredes (rangos de direcciones IP propias). VPC Para obtener más informaciónVPCs, consulta Cómo VPC funciona Amazon.

Cuando la aplicación SageMaker Canvas se ejecuta en un entorno AWS gestionadoVPC, puede interactuar con otros AWS servicios mediante una conexión a Internet o a través de VPC puntos de conexión creados en un entorno gestionado por el cliente VPC (sin acceso público a Internet). SageMaker Las aplicaciones de Canvas pueden acceder a estos VPC puntos finales a través de una interfaz de red creada por Studio Classic que proporciona conectividad a los dispositivos gestionados por el cliente. VPC El comportamiento predeterminado de la aplicación SageMaker Canvas es tener acceso a Internet. Cuando se utiliza una conexión a Internet, los contenedores de los trabajos anteriores acceden a los recursos de AWS a través de Internet, como los buckets de Amazon S3, donde se almacenan los datos de entrenamiento y los artefactos del modelo.

Sin embargo, si tiene requisitos de seguridad para controlar el acceso a sus contenedores de datos y trabajos, le recomendamos que configure SageMaker Canvas y el suyo VPC para que no se pueda acceder a sus datos y contenedores a través de Internet. SageMaker utiliza los ajustes de VPC configuración que especifique al configurar su dominio para SageMaker Canvas.

Si desea configurar su aplicación SageMaker Canvas sin acceso a Internet, debe configurar sus VPC ajustes al incorporarse al SageMaker dominio de Amazon, configurar los VPC puntos de enlace y conceder los AWS Identity and Access Management permisos necesarios. Para obtener información sobre cómo configurar un VPC en Amazon SageMaker, consulteElige un Amazon VPC. Las siguientes secciones describen cómo ejecutar SageMaker Canvas en un entorno VPC sin acceso público a Internet.

Configure Amazon SageMaker Canvas VPC sin acceso a Internet

Puede enviar tráfico desde SageMaker Canvas a otros AWS servicios a través del suyo propioVPC. Si el tuyo VPC no tiene acceso público a Internet y has configurado tu dominio en modo VPCexclusivo, SageMaker Canvas tampoco tendrá acceso público a Internet. Esto incluye todas las solicitudes, como el acceso a conjuntos de datos en Amazon S3 o los trabajos de formación para compilaciones estándar, y las solicitudes se envían a través de VPC puntos de enlace de su red de Internet en VPC lugar de a través de la red pública. Al incorporarte al dominioElige un Amazon VPC, puedes especificar el tuyo VPC como predeterminado VPC para el dominio, junto con la configuración de subred y grupo de seguridad que desees. A continuación, SageMaker crea una interfaz de red en el suyo VPC que SageMaker Canvas utiliza para acceder a los VPC puntos finales del suyo. VPC

Asegúrese de configurar uno o más grupos de seguridad VPC con reglas de entrada y salida que permitan el TCPtráfico dentro del grupo de seguridad. Esto es necesario para la conectividad entre la aplicación Jupyter Server y las aplicaciones Kernel Gateway. Debe permitir el acceso al menos a los puertos del rango8192-65535. Además, asegúrese de crear un grupo de seguridad distinto para cada perfil de usuario y de añadir el acceso entrante desde ese mismo grupo de seguridad. No recomendamos reutilizar un grupo de seguridad a nivel de dominio para los perfiles de usuario. Si el grupo de seguridad a nivel de dominio permite el acceso entrante a sí mismo, todas las aplicaciones del dominio tienen acceso a todas las demás aplicaciones del dominio. Tenga en cuenta que la configuración del grupo de seguridad y la subred se establece una vez que haya terminado de incorporarse al dominio.

Al incorporarte al dominio, si eliges solo Internet público como tipo de acceso a la red, VPC se SageMaker administra y permite el acceso a Internet.

Puedes cambiar este comportamiento si eliges VPCsolo SageMaker enviar todo el tráfico a una interfaz de red que se SageMaker cree en la que VPC especifiques. Al elegir esta opción, debe proporcionar las subredes, los grupos de seguridad y VPC los puntos de conexión necesarios para comunicarse con SageMaker Runtime SageMaker API y varios AWS servicios, como Amazon S3 y Amazon CloudWatch, que utiliza Canvas. SageMaker Tenga en cuenta que solo puede importar datos de buckets de Amazon S3 ubicados en la misma región que suVPC.

Los siguientes procedimientos muestran cómo puede configurar estos ajustes para usar SageMaker Canvas sin Internet.

Paso 1: Incorporación al SageMaker dominio de Amazon

Para enviar el tráfico de SageMaker Canvas a una interfaz de red propia en VPC lugar de hacerlo a través de Internet, especifica la VPC que deseas usar al incorporarte al SageMaker dominio de Amazon. También debe especificar al menos dos subredes VPC que SageMaker pueda utilizar. Elija la configuración estándar y lleve a cabo el siguiente procedimiento al configurar la sección de red y almacenamiento del dominio.

  1. Seleccione la que desee VPC.

  2. Elija dos o más Subredes. Si no especifica las subredes, SageMaker utilizará todas las subredes de. VPC

  3. Elija uno o varios Grupos de seguridad.

  4. Elija VPCSolo para desactivar el acceso directo a Internet en el VPC lugar AWS gestionado donde se aloja SageMaker Canvas.

Después de deshabilitar el acceso a Internet, finalice el proceso de incorporación para configurar su dominio. Para obtener más información sobre la VPC configuración del SageMaker dominio de Amazon, consulteElige un Amazon VPC.

Paso 2: Configurar los VPC puntos finales y el acceso

nota

Para configurar Canvas por su cuentaVPC, debe habilitar los DNS nombres de host privados para sus VPC puntos finales. Para obtener más información, consulte Conectarse a SageMaker través de un punto final de VPC interfaz.

SageMaker Canvas solo accede a otros AWS servicios para administrar y almacenar datos para su funcionalidad. Por ejemplo, se conecta a Amazon Redshift si los usuarios acceden a una base de datos de Amazon Redshift. Puede conectarse a un AWS servicio como Amazon Redshift mediante una conexión a Internet o un VPC punto final. Utilice VPC puntos de conexión si desea configurar conexiones desde sus dos AWS servicios VPC que no utilizan la Internet pública.

Un VPC punto final crea una conexión privada a un AWS servicio que utiliza una ruta de red aislada de la Internet pública. Por ejemplo, si configura el acceso a Amazon S3 mediante un VPC punto de conexión desde su propio punto de conexiónVPC, la aplicación SageMaker Canvas podrá acceder a Amazon S3 a través de la interfaz de red del suyo VPC y, después, a través del VPC punto de conexión que se conecta a Amazon S3. La comunicación entre SageMaker Canvas y Amazon S3 es privada.

Para obtener más información sobre cómo configurar VPC los puntos de conexión para ustedVPC, consulte AWS PrivateLink. Si utiliza modelos de Amazon Bedrock en Canvas con unVPC, para obtener más información sobre cómo controlar el acceso a sus datos, consulte Proteja los trabajos con un VPC en la Guía del usuario de Amazon Bedrock.

Los siguientes son los VPC puntos de conexión de cada servicio que puede utilizar con Canvas: SageMaker

Servicio Punto de conexión Tipo de punto de conexión

AWS Application Auto Scaling

com.amazonaws.Region.escalado automático de aplicaciones

Interfaz

Amazon Athena

com.amazonaws.Regionathena.

Interfaz

Amazon SageMaker

com.amazonaws.Region.sagemaker.api

com.amazonaws.Region.sagemaker.runtime

com.amazonaws.Region.cuaderno

Interfaz

AWS Security Token Service

com.amazonaws.Region.sts

Interfaz

Amazon Elastic Container Registry (AmazonECR)

com.amazonaws.Region.ecr.api

com.amazonaws.Region.ecr.dkr

Interfaz

Amazon Elastic Compute Cloud (AmazonEC2)

com.amazonaws.Regionec2.

Interfaz

Amazon Simple Storage Service (Amazon S3)

com.amazonaws.Regions3.

Puerta de enlace

Amazon Redshift

com.amazonaws.Region.redshift-data

Interfaz

AWS Secrets Manager

com.amazonaws.Regionsecretsmanager.

Interfaz

AWS Systems Manager

com.amazonaws.Regionssm.

Interfaz

Amazon CloudWatch

com.amazonaws.Region.monitoreo

Interfaz

Amazon CloudWatch Logs

com.amazonaws.Region.logs

Interfaz

Amazon Forecast

com.amazonaws.Region.pronóstico

com.amazonaws.Region.consulta de pronóstico

Interfaz

Amazon Textract

com.amazonaws.Region.t extract

Interfaz

Amazon Comprehend

com.amazonaws.Region.comprender

Interfaz

Amazon Rekognition

com.amazonaws.Region.reconocimiento

Interfaz

AWS Glue

com.amazonaws.Region.pegamento

Interfaz

AWS Application Auto Scaling

com.amazonaws.Region.escalado automático de aplicaciones

Interfaz

Amazon Relational Database Service (AmazonRDS)

com.amazonaws.Regionrds.

Interfaz

Amazon Bedrock

com.amazonaws.Region.bedrock-runtime

Interfaz

Amazon Kendra

com.amazonaws.Region.kendra

Interfaz

Amazon EMR Serverless

com.amazonaws.Region.emr-sin servidor

Interfaz
nota

En el caso de Amazon Bedrock, el nombre del servicio de punto de conexión de la interfaz com.amazonaws.Region.bedrock ha quedado obsoleto. Cree un nuevo VPC punto final con el nombre del servicio que aparece en la tabla anterior.

Además, no se pueden ajustar los modelos de base de Canvas VPCs sin acceso a Internet. Esto se debe a que Amazon Bedrock no admite VPC puntos de enlace para la personalización de modelos. APIs Para obtener más información sobre cómo ajustar los modelos de base en Canvas, consulte. Ajuste con precisión los modelos básicos

También debe añadir una política de puntos de conexión para que Amazon S3 controle el acceso AWS principal a su VPC punto de conexión. Para obtener información sobre cómo actualizar su política de puntos de VPC conexión, consulte Controlar el acceso a los puntos de conexión mediante políticas de VPC puntos de conexión.

A continuación, se muestran dos VPC políticas de puntos finales que puede utilizar. Utilice la primera política si solo quiere conceder acceso a las funciones básicas de Canvas, como la importación de datos y la creación de modelos. Utilice la segunda política si quiere conceder acceso a las funciones generativas adicionales de IA de Canvas.

Basic VPC endpoint policy

La siguiente política otorga el acceso necesario a su VPC terminal para realizar operaciones básicas en Canvas.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }
Generative AI VPC endpoint policy

La siguiente política otorga el acceso necesario a su VPC terminal para realizar operaciones básicas en Canvas, además de utilizar modelos básicos de IA generativa.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*",
                "arn:aws:s3:::*fmeval/datasets*",
                "arn:aws:s3:::*jumpstart-cache-prod*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }

Paso 3: Conceder permisos IAM

El usuario de SageMaker Canvas debe tener los AWS Identity and Access Management permisos necesarios para permitir la conexión a los VPC puntos finales. La IAM función a la que concedas permisos debe ser la misma que utilizaste al incorporarte al SageMaker dominio de Amazon. Puedes adjuntar la AmazonSageMakerFullAccess política SageMaker gestionada al IAM rol del usuario para otorgarle los permisos necesarios. Si necesitas IAM permisos más restrictivos y, en su lugar, utilizas políticas personalizadas, concede el ec2:DescribeVpcEndpointServices permiso al rol del usuario. SageMaker Canvas requiere estos permisos para verificar la existencia de los VPC puntos finales necesarios para los trabajos de construcción estándar. Si detecta estos VPC puntos finales, los trabajos de compilación estándar se ejecutan de forma predeterminada en su. VPC De lo contrario, se ejecutarán en la versión AWS gestionada VPC por defecto.

Para obtener instrucciones sobre cómo adjuntar la AmazonSageMakerFullAccess IAM política al IAM rol de tu usuario, consulta Añadir y quitar permisos de IAM identidad.

Para conceder a su IAM rol de usuario el ec2:DescribeVpcEndpointServices permiso granular, utilice el siguiente procedimiento.

  1. Inicie sesión en la IAMconsola AWS Management Console y ábrala.

  2. Seleccione Roles en el panel de navegación.

  3. En la lista, seleccione el nombre del rol para el que quiera conceder los permisos.

  4. Elija la pestaña Permisos.

  5. Seleccione Agregar permisos y, a continuación, Crear política insertada.

  6. Selecciona la JSONpestaña e introduce la siguiente política, que otorga el ec2:DescribeVpcEndpointServices permiso:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "ec2:DescribeVpcEndpointServices",
            "Resource": "*"
        }
    ]
}

  7. Seleccione Revisar política y después especifique un Nombre para la política (por ejemplo, VPCEndpointPermissions).

  8. Elija Crear política.

El IAM rol del usuario ahora debería tener permisos para acceder a los VPC puntos finales configurados en suVPC.

(Opcional) Paso 4: Anular la configuración del grupo de seguridad para usuarios específicos

Si es administrador, es posible que desee que los distintos usuarios tengan una VPC configuración diferente o una configuración específica para cada usuarioVPC. Al anular la configuración del grupo VPC de seguridad predeterminada para un usuario específico, esta configuración se transfiere a la aplicación SageMaker Canvas de ese usuario.

Puede anular los grupos de seguridad a los que tiene acceso un usuario específico VPC cuando configura un nuevo perfil de usuario en Studio Classic. Puede utilizar la CreateUserProfile SageMaker APIllamada (o create_user_profile con la AWS CLI) y, a continuación, especificar la llamada para el UserSettings usuario. SecurityGroups