Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Configure Amazon SageMaker Canvas VPC sin acceso a Internet

Modo de enfoque

En esta página

Configure Amazon SageMaker Canvas VPC sin acceso a Internet - Amazon SageMaker AI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

La aplicación Amazon SageMaker Canvas se ejecuta en un contenedor de una Amazon Virtual Private Cloud (VPC) AWS gestionada. Si desea controlar aún más el acceso a sus recursos o ejecutar SageMaker Canvas sin acceso público a Internet, puede configurar su dominio y sus VPC ajustes de Amazon SageMaker AI. De forma independienteVPC, puede configurar ajustes como los grupos de seguridad (firewalls virtuales que controlan el tráfico entrante y saliente de las EC2 instancias de Amazon) y las subredes (rangos de direcciones IP propias). VPC Para obtener más informaciónVPCs, consulta Cómo VPC funciona Amazon.

Cuando la aplicación SageMaker Canvas se ejecuta en un entorno AWS gestionadoVPC, puede interactuar con otros AWS servicios mediante una conexión a Internet o a través de VPC puntos de conexión creados en un entorno gestionado por el cliente VPC (sin acceso público a Internet). SageMaker Las aplicaciones de Canvas pueden acceder a estos VPC puntos finales a través de una interfaz de red creada por Studio Classic que proporciona conectividad a los dispositivos gestionados por el cliente. VPC El comportamiento predeterminado de la aplicación SageMaker Canvas es tener acceso a Internet. Cuando se utiliza una conexión a Internet, los contenedores de los trabajos anteriores acceden a los recursos de AWS a través de Internet, como los buckets de Amazon S3, donde se almacenan los datos de entrenamiento y los artefactos del modelo.

Sin embargo, si tiene requisitos de seguridad para controlar el acceso a sus contenedores de datos y trabajos, le recomendamos que configure SageMaker Canvas y el suyo VPC para que no se pueda acceder a sus datos y contenedores a través de Internet. SageMaker La IA utiliza los ajustes de VPC configuración que especifique al configurar su dominio para SageMaker Canvas.

Si desea configurar su aplicación SageMaker Canvas sin acceso a Internet, debe configurar sus VPC ajustes al incorporarse al dominio Amazon SageMaker AI, configurar los VPC puntos de enlace y conceder los AWS Identity and Access Management permisos necesarios. Para obtener información sobre cómo configurar un VPC en Amazon SageMaker AI, consulteElige un Amazon VPC. En las siguientes secciones se describe cómo ejecutar SageMaker Canvas en un entorno VPC sin acceso público a Internet.

Configure Amazon SageMaker Canvas VPC sin acceso a Internet

Puede enviar tráfico desde SageMaker Canvas a otros AWS servicios a través del suyo propioVPC. Si el tuyo VPC no tiene acceso público a Internet y has configurado tu dominio en modo VPCexclusivo, SageMaker Canvas tampoco tendrá acceso público a Internet. Esto incluye todas las solicitudes, como el acceso a conjuntos de datos en Amazon S3 o los trabajos de formación para compilaciones estándar, y las solicitudes se envían a través de VPC puntos de enlace de su red de Internet en VPC lugar de a través de la red pública. Al incorporarte al dominioElige un Amazon VPC, puedes especificar el tuyo VPC como predeterminado VPC para el dominio, junto con la configuración de subred y grupo de seguridad que desees. A continuación, la SageMaker IA crea una interfaz de red en el suyo VPC que SageMaker Canvas utiliza para acceder a los VPC puntos finales del suyo. VPC

Asegúrese de configurar uno o más grupos de seguridad VPC con reglas de entrada y salida que permitan el TCPtráfico dentro del grupo de seguridad. Esto es necesario para la conectividad entre la aplicación de Jupyter Server y las aplicaciones de puerta de enlace de kernel. Debe permitir el acceso al menos a los puertos del rango8192-65535. Además, asegúrese de crear un grupo de seguridad distinto para cada perfil de usuario y agregue el acceso entrante desde ese mismo grupo de seguridad. No se recomienda reutilizar un grupo de seguridad de nivel de dominio para perfiles de usuario. Si el grupo de seguridad de nivel de dominio permite el acceso entrante a sí mismo, todas las aplicaciones del dominio tendrán acceso a todas las demás aplicaciones del dominio. Tenga en cuenta que la configuración del grupo de seguridad y la subred se establece una vez que haya terminado de incorporarse al dominio.

Al incorporarte a un dominio, si eliges solo Internet público como tipo de acceso a la red, VPC está gestionado por SageMaker IA y permite el acceso a Internet.

Puedes cambiar este comportamiento si eliges VPCsolo que la SageMaker IA envíe todo el tráfico a una interfaz de red que la SageMaker IA cree en tu entorno especificadoVPC. Al elegir esta opción, debe proporcionar las subredes, los grupos de seguridad y VPC los puntos de conexión necesarios para comunicarse con SageMaker AI Runtime y varios AWS servicios, como Amazon S3 y Amazon CloudWatch, que utiliza Canvas. SageMaker API SageMaker Tenga en cuenta que solo puede importar datos de buckets de Amazon S3 ubicados en la misma región que suVPC.

Los siguientes procedimientos muestran cómo puede configurar estos ajustes para usar SageMaker Canvas sin Internet.

Paso 1: Incorporación al dominio Amazon SageMaker AI

Para enviar el tráfico de SageMaker Canvas a una interfaz de red propia en VPC lugar de hacerlo a través de Internet, especifica la VPC que deseas usar al incorporarte al dominio Amazon SageMaker AI. También debe especificar al menos dos subredes en la suya VPC que pueda utilizar la SageMaker IA. Elija la Configuración estándar y lleve a cabo el siguiente procedimiento al configurar la Sección de red y almacenamiento del dominio.

  1. Seleccione la que desee. VPC

  2. Elija dos o más Subredes. Si no especificas las subredes, la SageMaker IA utilizará todas las subredes de. VPC

  3. Elija uno o varios Grupos de seguridad.

  4. Elija VPCSolo para desactivar el acceso directo a Internet en el VPC lugar AWS gestionado donde se aloja SageMaker Canvas.

Tras deshabilitar el acceso a Internet, finalice el proceso de incorporación para configurar su dominio. Para obtener más información sobre la VPC configuración del dominio Amazon SageMaker AI, consulteElige un Amazon VPC.

Paso 2: Configurar los VPC puntos finales y el acceso

nota

Para configurar Canvas por su cuentaVPC, debe habilitar los DNS nombres de host privados para sus VPC puntos finales. Para obtener más información, consulte Conectarse a la SageMaker IA a través de un punto final de VPC interfaz.

SageMaker Canvas solo accede a otros AWS servicios para administrar y almacenar datos para su funcionalidad. Por ejemplo, se conecta a Amazon Redshift si los usuarios acceden a una base de datos de Amazon Redshift. Puede conectarse a un AWS servicio como Amazon Redshift mediante una conexión a Internet o un VPC punto final. Utilice VPC puntos de conexión si desea configurar conexiones desde sus dos AWS servicios VPC que no utilizan la Internet pública.

Un VPC punto final crea una conexión privada a un AWS servicio que utiliza una ruta de red aislada de la Internet pública. Por ejemplo, si configura el acceso a Amazon S3 mediante un VPC punto de conexión desde su propio punto de conexiónVPC, la aplicación SageMaker Canvas podrá acceder a Amazon S3 a través de la interfaz de red del suyo VPC y, después, a través del VPC punto de conexión que se conecta a Amazon S3. La comunicación entre SageMaker Canvas y Amazon S3 es privada.

Para obtener más información sobre cómo configurar VPC los puntos de conexión para ustedVPC, consulte AWS PrivateLink. Si utiliza modelos de Amazon Bedrock en Canvas con unVPC, para obtener más información sobre cómo controlar el acceso a sus datos, consulte Proteja los trabajos con un VPC en la Guía del usuario de Amazon Bedrock.

Los siguientes son los VPC puntos de conexión de cada servicio que puede utilizar con Canvas: SageMaker

Servicio Punto de conexión Tipo de punto de conexión

AWS Application Auto Scaling

com.amazonaws. Region.escalado automático de aplicaciones

Interfaz

Amazon Athena

com.amazonaws. Region.athena

Interfaz

Amazon SageMaker AI

com.amazonaws. Region.sagemaker.api

com.amazonaws. Region.sagemaker.runtime

com.amazonaws. Region.cuaderno

Interfaz

Asistente de ciencia de datos de Amazon SageMaker AI

com.amazonaws. Region. sagemaker-data-science-assistant

Interfaz

AWS Security Token Service

com.amazonaws. Region.sts

Interfaz

Amazon Elastic Container Registry (AmazonECR)

com.amazonaws. Region.ecr.api

com.amazonaws. Region.ecr.dkr

Interfaz

Amazon Elastic Compute Cloud (AmazonEC2)

com.amazonaws. Region.ec2

Interfaz

Amazon Simple Storage Service (Amazon S3)

com.amazonaws. Region.s3

Puerta de enlace

Amazon Redshift

com.amazonaws. Region.redshift-data

Interfaz

AWS Secrets Manager

com.amazonaws. Region.administrador de secretos

Interfaz

AWS Systems Manager

com.amazonaws. Region.ssm

Interfaz

Amazon CloudWatch

com.amazonaws. Region.monitoreo

Interfaz

Amazon CloudWatch Logs

com.amazonaws. Region.logs

Interfaz

Amazon Forecast

com.amazonaws. Region.pronóstico

com.amazonaws. Region.forecastquery

Interfaz

Amazon Textract

com.amazonaws. Region.t extract

Interfaz

Amazon Comprehend

com.amazonaws. Region.comprender

Interfaz

Amazon Rekognition

com.amazonaws. Region.reconocimiento

Interfaz

AWS Glue

com.amazonaws. Region.pegamento

Interfaz

AWS Application Auto Scaling

com.amazonaws. Region.escalado automático de aplicaciones

Interfaz

Amazon Relational Database Service (AmazonRDS)

com.amazonaws. Region.rds

Interfaz

Amazon Bedrock (ver nota después de la tabla)

com.amazonaws. Region.bedrock-runtime

Interfaz

Amazon Kendra

com.amazonaws. Region.kendra

Interfaz

Amazon EMR Serverless

com.amazonaws. Region.emr-serverless

Interfaz

Desarrollador de Amazon Q (consulte la nota después de la tabla)

com.amazonaws. Regionq.

Interfaz

nota

El VPC punto de conexión Amazon Q Developer actualmente solo está disponible en la región EE.UU. Este (Norte de Virginia). Para conectarse a él desde otras regiones, puede elegir una de las siguientes opciones en función de sus preferencias de seguridad e infraestructura:

nota

En el caso de Amazon Bedrock, el nombre del servicio de punto de conexión de la interfaz com.amazonaws.Region.bedrock ha quedado obsoleto. Cree un nuevo VPC punto final con el nombre del servicio que aparece en la tabla anterior.

Además, no se pueden ajustar los modelos de base de Canvas VPCs sin acceso a Internet. Esto se debe a que Amazon Bedrock no admite VPC puntos de enlace para la personalización de modelos. APIs Para obtener más información sobre cómo afinar un modelo fundacional en Canvas, consulte Afinamiento de modelos fundacionales.

También debe añadir una política de puntos de conexión para que Amazon S3 controle el acceso AWS principal a su VPC punto de conexión. Para obtener información sobre cómo actualizar su política de puntos de VPC conexión, consulte Controlar el acceso a los puntos de conexión mediante políticas de VPC puntos de conexión.

A continuación, se muestran dos VPC políticas de puntos finales que puede utilizar. Utilice la primera política si solo desea conceder acceso a las funciones básicas de Canvas, como importación de datos y creación de modelos. Utilice la segunda política si quiere desea acceso a las características adicionales de IA generativa en Canvas.

Basic VPC endpoint policy

La siguiente política otorga el acceso necesario a su VPC punto final para las operaciones básicas en Canvas.

{ "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }
Generative AI VPC endpoint policy

La siguiente política otorga el acceso necesario a su VPC terminal para realizar operaciones básicas en Canvas, además de utilizar modelos básicos de IA generativa.

{ "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*fmeval/datasets*", "arn:aws:s3:::*jumpstart-cache-prod*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }

La siguiente política otorga el acceso necesario a su VPC punto final para las operaciones básicas en Canvas.

{ "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }

Paso 3: Conceder permisos IAM

El usuario de SageMaker Canvas debe tener los AWS Identity and Access Management permisos necesarios para permitir la conexión a los VPC puntos finales. La IAM función a la que concedas permisos debe ser la misma que utilizaste al incorporarte al dominio de Amazon SageMaker AI. Puede adjuntar la AmazonSageMakerFullAccess política gestionada por SageMaker IA al IAM rol del usuario para otorgarle los permisos necesarios. Si necesitas IAM permisos más restrictivos y, en su lugar, utilizas políticas personalizadas, concede el ec2:DescribeVpcEndpointServices permiso al rol del usuario. SageMaker Canvas requiere estos permisos para verificar la existencia de los VPC puntos finales necesarios para los trabajos de construcción estándar. Si detecta estos VPC puntos finales, los trabajos de compilación estándar se ejecutan de forma predeterminada en su. VPC De lo contrario, se ejecutarán en la versión AWS gestionada VPC por defecto.

Para obtener instrucciones sobre cómo adjuntar la AmazonSageMakerFullAccess IAM política al IAM rol de tu usuario, consulta Añadir y quitar permisos de IAM identidad.

Para conceder a su IAM rol de usuario el ec2:DescribeVpcEndpointServices permiso granular, utilice el siguiente procedimiento.

  1. Inicie sesión en la IAMconsola AWS Management Console y ábrala.

  2. Seleccione Roles en el panel de navegación.

  3. En la lista, seleccione el nombre del rol para el que quiera conceder los permisos.

  4. Elija la pestaña Permisos.

  5. Seleccione Agregar permisos y, a continuación, Crear política insertada.

  6. Selecciona la JSONpestaña e introduce la siguiente política, que otorga el ec2:DescribeVpcEndpointServices permiso:

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:DescribeVpcEndpointServices", "Resource": "*" } ] }
  7. Seleccione Revisar política y después especifique un Nombre para la política (por ejemplo, VPCEndpointPermissions).

  8. Elija Crear política.

El IAM rol del usuario ahora debería tener permisos para acceder a los VPC puntos finales configurados en suVPC.

(Opcional) Paso 4: Anular la configuración del grupo de seguridad para usuarios específicos

Si es administrador, es posible que desee que los distintos usuarios tengan una VPC configuración diferente o una configuración específica para cada usuarioVPC. Al anular la configuración del grupo VPC de seguridad predeterminada para un usuario específico, esta configuración se transfiere a la aplicación SageMaker Canvas de ese usuario.

Puede anular los grupos de seguridad a los que tiene acceso un usuario específico VPC cuando configura un nuevo perfil de usuario en Studio Classic. Puede utilizar la CreateUserProfile SageMaker APIllamada (o create_user_profile con la AWS CLI) y, a continuación, especificar la llamada para el UserSettings usuario. SecurityGroups

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.