Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
La aplicación Amazon SageMaker Canvas se ejecuta en un contenedor de una Amazon Virtual Private Cloud (VPC) AWS gestionada. Si desea controlar aún más el acceso a sus recursos o ejecutar SageMaker Canvas sin acceso público a Internet, puede configurar su dominio y sus VPC ajustes de Amazon SageMaker AI. De forma independienteVPC, puede configurar ajustes como los grupos de seguridad (firewalls virtuales que controlan el tráfico entrante y saliente de las EC2 instancias de Amazon) y las subredes (rangos de direcciones IP propias). VPC Para obtener más informaciónVPCs, consulta Cómo VPC funciona Amazon.
Cuando la aplicación SageMaker Canvas se ejecuta en un entorno AWS gestionadoVPC, puede interactuar con otros AWS servicios mediante una conexión a Internet o a través de VPC puntos de conexión creados en un entorno gestionado por el cliente VPC (sin acceso público a Internet). SageMaker Las aplicaciones de Canvas pueden acceder a estos VPC puntos finales a través de una interfaz de red creada por Studio Classic que proporciona conectividad a los dispositivos gestionados por el cliente. VPC El comportamiento predeterminado de la aplicación SageMaker Canvas es tener acceso a Internet. Cuando se utiliza una conexión a Internet, los contenedores de los trabajos anteriores acceden a los recursos de AWS a través de Internet, como los buckets de Amazon S3, donde se almacenan los datos de entrenamiento y los artefactos del modelo.
Sin embargo, si tiene requisitos de seguridad para controlar el acceso a sus contenedores de datos y trabajos, le recomendamos que configure SageMaker Canvas y el suyo VPC para que no se pueda acceder a sus datos y contenedores a través de Internet. SageMaker La IA utiliza los ajustes de VPC configuración que especifique al configurar su dominio para SageMaker Canvas.
Si desea configurar su aplicación SageMaker Canvas sin acceso a Internet, debe configurar sus VPC ajustes al incorporarse al dominio Amazon SageMaker AI, configurar los VPC puntos de enlace y conceder los AWS Identity and Access Management permisos necesarios. Para obtener información sobre cómo configurar un VPC en Amazon SageMaker AI, consulteElige un Amazon VPC. En las siguientes secciones se describe cómo ejecutar SageMaker Canvas en un entorno VPC sin acceso público a Internet.
Configure Amazon SageMaker Canvas VPC sin acceso a Internet
Puede enviar tráfico desde SageMaker Canvas a otros AWS servicios a través del suyo propioVPC. Si el tuyo VPC no tiene acceso público a Internet y has configurado tu dominio en modo VPCexclusivo, SageMaker Canvas tampoco tendrá acceso público a Internet. Esto incluye todas las solicitudes, como el acceso a conjuntos de datos en Amazon S3 o los trabajos de formación para compilaciones estándar, y las solicitudes se envían a través de VPC puntos de enlace de su red de Internet en VPC lugar de a través de la red pública. Al incorporarte al dominioElige un Amazon VPC, puedes especificar el tuyo VPC como predeterminado VPC para el dominio, junto con la configuración de subred y grupo de seguridad que desees. A continuación, la SageMaker IA crea una interfaz de red en el suyo VPC que SageMaker Canvas utiliza para acceder a los VPC puntos finales del suyo. VPC
Asegúrese de configurar uno o más grupos de seguridad VPC con reglas de entrada y salida que permitan el TCPtráfico dentro del grupo de seguridad. Esto es necesario para la conectividad entre la aplicación de Jupyter Server y las aplicaciones de puerta de enlace de kernel. Debe permitir el acceso al menos a los puertos del rango8192-65535
. Además, asegúrese de crear un grupo de seguridad distinto para cada perfil de usuario y agregue el acceso entrante desde ese mismo grupo de seguridad. No se recomienda reutilizar un grupo de seguridad de nivel de dominio para perfiles de usuario. Si el grupo de seguridad de nivel de dominio permite el acceso entrante a sí mismo, todas las aplicaciones del dominio tendrán acceso a todas las demás aplicaciones del dominio. Tenga en cuenta que la configuración del grupo de seguridad y la subred se establece una vez que haya terminado de incorporarse al dominio.
Al incorporarte a un dominio, si eliges solo Internet público como tipo de acceso a la red, VPC está gestionado por SageMaker IA y permite el acceso a Internet.
Puedes cambiar este comportamiento si eliges VPCsolo que la SageMaker IA envíe todo el tráfico a una interfaz de red que la SageMaker IA cree en tu entorno especificadoVPC. Al elegir esta opción, debe proporcionar las subredes, los grupos de seguridad y VPC los puntos de conexión necesarios para comunicarse con SageMaker AI Runtime y varios AWS servicios, como Amazon S3 y Amazon CloudWatch, que utiliza Canvas. SageMaker API SageMaker Tenga en cuenta que solo puede importar datos de buckets de Amazon S3 ubicados en la misma región que suVPC.
Los siguientes procedimientos muestran cómo puede configurar estos ajustes para usar SageMaker Canvas sin Internet.
Paso 1: Incorporación al dominio Amazon SageMaker AI
Para enviar el tráfico de SageMaker Canvas a una interfaz de red propia en VPC lugar de hacerlo a través de Internet, especifica la VPC que deseas usar al incorporarte al dominio Amazon SageMaker AI. También debe especificar al menos dos subredes en la suya VPC que pueda utilizar la SageMaker IA. Elija la Configuración estándar y lleve a cabo el siguiente procedimiento al configurar la Sección de red y almacenamiento del dominio.
Seleccione la que desee. VPC
Elija dos o más Subredes. Si no especificas las subredes, la SageMaker IA utilizará todas las subredes de. VPC
-
Elija uno o varios Grupos de seguridad.
Elija VPCSolo para desactivar el acceso directo a Internet en el VPC lugar AWS gestionado donde se aloja SageMaker Canvas.
Tras deshabilitar el acceso a Internet, finalice el proceso de incorporación para configurar su dominio. Para obtener más información sobre la VPC configuración del dominio Amazon SageMaker AI, consulteElige un Amazon VPC.
Paso 2: Configurar los VPC puntos finales y el acceso
nota
Para configurar Canvas por su cuentaVPC, debe habilitar los DNS nombres de host privados para sus VPC puntos finales. Para obtener más información, consulte Conectarse a la SageMaker IA a través de un punto final de VPC interfaz.
SageMaker Canvas solo accede a otros AWS servicios para administrar y almacenar datos para su funcionalidad. Por ejemplo, se conecta a Amazon Redshift si los usuarios acceden a una base de datos de Amazon Redshift. Puede conectarse a un AWS servicio como Amazon Redshift mediante una conexión a Internet o un VPC punto final. Utilice VPC puntos de conexión si desea configurar conexiones desde sus dos AWS servicios VPC que no utilizan la Internet pública.
Un VPC punto final crea una conexión privada a un AWS servicio que utiliza una ruta de red aislada de la Internet pública. Por ejemplo, si configura el acceso a Amazon S3 mediante un VPC punto de conexión desde su propio punto de conexiónVPC, la aplicación SageMaker Canvas podrá acceder a Amazon S3 a través de la interfaz de red del suyo VPC y, después, a través del VPC punto de conexión que se conecta a Amazon S3. La comunicación entre SageMaker Canvas y Amazon S3 es privada.
Para obtener más información sobre cómo configurar VPC los puntos de conexión para ustedVPC, consulte AWS PrivateLink. Si utiliza modelos de Amazon Bedrock en Canvas con unVPC, para obtener más información sobre cómo controlar el acceso a sus datos, consulte Proteja los trabajos con un VPC en la Guía del usuario de Amazon Bedrock.
Los siguientes son los VPC puntos de conexión de cada servicio que puede utilizar con Canvas: SageMaker
Servicio | Punto de conexión | Tipo de punto de conexión |
---|---|---|
AWS Application Auto Scaling |
com.amazonaws. |
Interfaz |
Amazon Athena |
com.amazonaws. |
Interfaz |
Amazon SageMaker AI |
com.amazonaws. com.amazonaws. com.amazonaws. |
Interfaz |
Asistente de ciencia de datos de Amazon SageMaker AI |
com.amazonaws. |
Interfaz |
AWS Security Token Service |
com.amazonaws. |
Interfaz |
Amazon Elastic Container Registry (AmazonECR) |
com.amazonaws. com.amazonaws. |
Interfaz |
Amazon Elastic Compute Cloud (AmazonEC2) |
com.amazonaws. |
Interfaz |
Amazon Simple Storage Service (Amazon S3) |
com.amazonaws. |
Puerta de enlace |
Amazon Redshift |
com.amazonaws. |
Interfaz |
AWS Secrets Manager |
com.amazonaws. |
Interfaz |
AWS Systems Manager |
com.amazonaws. |
Interfaz |
Amazon CloudWatch |
com.amazonaws. |
Interfaz |
Amazon CloudWatch Logs |
com.amazonaws. |
Interfaz |
Amazon Forecast |
com.amazonaws. com.amazonaws. |
Interfaz |
Amazon Textract |
com.amazonaws. |
Interfaz |
Amazon Comprehend |
com.amazonaws. |
Interfaz |
Amazon Rekognition |
com.amazonaws. |
Interfaz |
AWS Glue |
com.amazonaws. |
Interfaz |
AWS Application Auto Scaling |
com.amazonaws. |
Interfaz |
Amazon Relational Database Service (AmazonRDS) |
com.amazonaws. |
Interfaz |
Amazon Bedrock (ver nota después de la tabla) |
com.amazonaws. |
Interfaz |
Amazon Kendra |
com.amazonaws. |
Interfaz |
Amazon EMR Serverless |
com.amazonaws. |
Interfaz |
Desarrollador de Amazon Q (consulte la nota después de la tabla) |
com.amazonaws. |
Interfaz |
nota
El VPC punto de conexión Amazon Q Developer actualmente solo está disponible en la región EE.UU. Este (Norte de Virginia). Para conectarse a él desde otras regiones, puede elegir una de las siguientes opciones en función de sus preferencias de seguridad e infraestructura:
Configure una NAT puerta de enlace. Configure una NAT puerta VPC de enlace en su subred privada para habilitar la conectividad a Internet para el punto final de Q Developer. Para obtener más información, consulte Configuración de una NAT puerta de enlace en una VPC subred privada
. Habilite el acceso al VPC punto final entre regiones. Configure el acceso a los VPC puntos finales entre regiones para Q Developer. Utilice esta opción para conectarse de forma segura sin necesidad de acceso a Internet. Para obtener más información, consulte Configuración del acceso a VPC terminales entre regiones
.
nota
En el caso de Amazon Bedrock, el nombre del servicio de punto de conexión de la interfaz com.amazonaws.
ha quedado obsoleto. Cree un nuevo VPC punto final con el nombre del servicio que aparece en la tabla anterior.Region
.bedrock
Además, no se pueden ajustar los modelos de base de Canvas VPCs sin acceso a Internet. Esto se debe a que Amazon Bedrock no admite VPC puntos de enlace para la personalización de modelos. APIs Para obtener más información sobre cómo afinar un modelo fundacional en Canvas, consulte Afinamiento de modelos fundacionales.
También debe añadir una política de puntos de conexión para que Amazon S3 controle el acceso AWS principal a su VPC punto de conexión. Para obtener información sobre cómo actualizar su política de puntos de VPC conexión, consulte Controlar el acceso a los puntos de conexión mediante políticas de VPC puntos de conexión.
A continuación, se muestran dos VPC políticas de puntos finales que puede utilizar. Utilice la primera política si solo desea conceder acceso a las funciones básicas de Canvas, como importación de datos y creación de modelos. Utilice la segunda política si quiere desea acceso a las características adicionales de IA generativa en Canvas.
La siguiente política otorga el acceso necesario a su VPC punto final para las operaciones básicas en Canvas.
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
Paso 3: Conceder permisos IAM
El usuario de SageMaker Canvas debe tener los AWS Identity and Access Management permisos necesarios para permitir la conexión a los VPC puntos finales. La IAM función a la que concedas permisos debe ser la misma que utilizaste al incorporarte al dominio de Amazon SageMaker AI. Puede adjuntar la AmazonSageMakerFullAccess
política gestionada por SageMaker IA al IAM rol del usuario para otorgarle los permisos necesarios. Si necesitas IAM permisos más restrictivos y, en su lugar, utilizas políticas personalizadas, concede el ec2:DescribeVpcEndpointServices
permiso al rol del usuario. SageMaker Canvas requiere estos permisos para verificar la existencia de los VPC puntos finales necesarios para los trabajos de construcción estándar. Si detecta estos VPC puntos finales, los trabajos de compilación estándar se ejecutan de forma predeterminada en su. VPC De lo contrario, se ejecutarán en la versión AWS gestionada VPC por defecto.
Para obtener instrucciones sobre cómo adjuntar la AmazonSageMakerFullAccess
IAM política al IAM rol de tu usuario, consulta Añadir y quitar permisos de IAM identidad.
Para conceder a su IAM rol de usuario el ec2:DescribeVpcEndpointServices
permiso granular, utilice el siguiente procedimiento.
Inicie sesión en la IAMconsola AWS Management Console y ábrala
. Seleccione Roles en el panel de navegación.
En la lista, seleccione el nombre del rol para el que quiera conceder los permisos.
Elija la pestaña Permisos.
Seleccione Agregar permisos y, a continuación, Crear política insertada.
-
Selecciona la JSONpestaña e introduce la siguiente política, que otorga el
ec2:DescribeVpcEndpointServices
permiso:{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:DescribeVpcEndpointServices", "Resource": "*" } ] }
Seleccione Revisar política y después especifique un Nombre para la política (por ejemplo,
VPCEndpointPermissions
).Elija Crear política.
El IAM rol del usuario ahora debería tener permisos para acceder a los VPC puntos finales configurados en suVPC.
(Opcional) Paso 4: Anular la configuración del grupo de seguridad para usuarios específicos
Si es administrador, es posible que desee que los distintos usuarios tengan una VPC configuración diferente o una configuración específica para cada usuarioVPC. Al anular la configuración del grupo VPC de seguridad predeterminada para un usuario específico, esta configuración se transfiere a la aplicación SageMaker Canvas de ese usuario.
Puede anular los grupos de seguridad a los que tiene acceso un usuario específico VPC cuando configura un nuevo perfil de usuario en Studio Classic. Puede utilizar la CreateUserProfile SageMaker APIllamada (o create_user_profileUserSettings
usuario. SecurityGroups