Configurar Amazon SageMaker Canvas en una VPC sin acceso a Internet - Amazon SageMaker AI
Configurar Amazon SageMaker Canvas en una VPC sin acceso a Internet

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar Amazon SageMaker Canvas en una VPC sin acceso a Internet

La aplicación Amazon SageMaker Canvas se ejecuta en un contenedor de una Amazon Virtual Private Cloud (VPC) AWS gestionada. Si desea controlar aún más el acceso a sus recursos o ejecutar SageMaker Canvas sin acceso público a Internet, puede configurar su dominio de Amazon SageMaker AI y los ajustes de VPC. Dentro de su propia VPC, puede configurar ajustes como grupos de seguridad (firewalls virtuales que controlan el tráfico entrante y saliente de las instancias de EC2 Amazon) y subredes (rangos de direcciones IP en su VPC). Para obtener más información VPCs, consulte Cómo funciona Amazon VPC.

Cuando la aplicación SageMaker Canvas se ejecuta en la VPC AWS gestionada, puede interactuar con otros AWS servicios mediante una conexión a Internet o mediante puntos de conexión de la VPC creados en una VPC gestionada por el cliente (sin acceso público a Internet). SageMaker Las aplicaciones de Canvas pueden acceder a estos puntos finales de la VPC a través de una interfaz de red creada por Studio Classic que proporciona conectividad a la VPC gestionada por el cliente. El comportamiento predeterminado de la aplicación SageMaker Canvas es tener acceso a Internet. Cuando se utiliza una conexión a Internet, los contenedores de los trabajos anteriores acceden a los recursos de AWS a través de Internet, como los buckets de Amazon S3, donde se almacenan los datos de entrenamiento y los artefactos del modelo.

Sin embargo, si tiene requisitos de seguridad para controlar el acceso a sus contenedores de datos y trabajos, le recomendamos que configure SageMaker Canvas y su VPC para que no se pueda acceder a sus datos y contenedores a través de Internet. SageMaker La IA usa los ajustes de configuración de VPC que especificas al configurar tu dominio para SageMaker Canvas.

Si desea configurar su aplicación SageMaker Canvas sin acceso a Internet, debe configurar los ajustes de la VPC al incorporarse al dominio Amazon SageMaker AI, configurar los puntos de enlace de la VPC y conceder los permisos necesarios. AWS Identity and Access Management Para obtener información sobre la configuración de una VPC en Amazon SageMaker AI, consulte. Elección de una Amazon VPC En las siguientes secciones se describe cómo ejecutar SageMaker Canvas en una VPC sin acceso público a Internet.

Configurar Amazon SageMaker Canvas en una VPC sin acceso a Internet

Puede enviar tráfico desde SageMaker Canvas a otros AWS servicios a través de su propia VPC. Si su propia VPC no tiene acceso público a Internet y ha configurado su dominio en modo solo VPC, SageMaker Canvas tampoco tendrá acceso público a Internet. Esto incluye todas las solicitudes, como el acceso a conjuntos de datos en Amazon S3 o los trabajos de entrenamiento para compilaciones estándares, y las solicitudes pasan por los puntos de conexión de VPC de su VPC en lugar de por el Internet público. Al incorporarse al dominio y Elección de una Amazon VPC, puede especificar su propia VPC como VPC predeterminada para el dominio, junto con la configuración de subred y grupo de seguridad que desee. A continuación, la SageMaker IA crea una interfaz de red en la VPC que SageMaker Canvas utiliza para acceder a los puntos finales de la VPC de la VPC.

Asegúrese de configurar uno o más grupos de seguridad en su VPC con reglas de entrada y salida que permitan tráfico TCP dentro del grupo de seguridad. Esto es necesario para la conectividad entre la aplicación de Jupyter Server y las aplicaciones de puerta de enlace de kernel. Debe permitir el acceso al menos a los puertos del rango8192-65535. Además, asegúrese de crear un grupo de seguridad distinto para cada perfil de usuario y agregue el acceso entrante desde ese mismo grupo de seguridad. No se recomienda reutilizar un grupo de seguridad de nivel de dominio para perfiles de usuario. Si el grupo de seguridad de nivel de dominio permite el acceso entrante a sí mismo, todas las aplicaciones del dominio tendrán acceso a todas las demás aplicaciones del dominio. Tenga en cuenta que la configuración del grupo de seguridad y la subred se establece una vez que haya terminado de incorporarse al dominio.

Al incorporarte al dominio, si eliges solo Internet público como tipo de acceso a la red, la VPC SageMaker está gestionada por IA y permite el acceso a Internet.

Puede cambiar este comportamiento si elige solo VPC para que la SageMaker IA envíe todo el tráfico a una interfaz de red que la SageMaker IA cree en la VPC especificada. Al elegir esta opción, debe proporcionar las subredes, los grupos de seguridad y los puntos de enlace de VPC necesarios para comunicarse con SageMaker la API SageMaker y AI Runtime, y AWS varios servicios, como Amazon S3 y CloudWatch Amazon, que utiliza Canvas. SageMaker Tenga en cuenta que solo puede importar datos de buckets de Amazon S3 ubicados en la misma región que su VPC.

Los siguientes procedimientos muestran cómo puede configurar estos ajustes para usar SageMaker Canvas sin Internet.

Paso 1: Incorporación al dominio Amazon SageMaker AI

Para enviar el tráfico de SageMaker Canvas a una interfaz de red de su propia VPC en lugar de hacerlo a través de Internet, especifique la VPC que quiere usar al incorporarse al dominio de Amazon AI. SageMaker También debes especificar al menos dos subredes en tu VPC SageMaker que pueda usar la IA. Elija la Configuración estándar y lleve a cabo el siguiente procedimiento al configurar la Sección de red y almacenamiento del dominio.

  1. Seleccione la VPC que desee.

  2. Elija dos o más Subredes. Si no especificas las subredes, la SageMaker IA utilizará todas las subredes de la VPC.

  3. Elija uno o varios Grupos de seguridad.

  4. Elija Solo VPC para desactivar el acceso directo a Internet en la AWS VPC gestionada en la que se SageMaker aloja Canvas.

Tras deshabilitar el acceso a Internet, finalice el proceso de incorporación para configurar su dominio. Para obtener más información sobre la configuración de VPC para el dominio de Amazon SageMaker AI, consulte. Elección de una Amazon VPC

Paso 2: Configuración de puntos de conexión de VPC y accesos

nota

Para configurar Canvas en su propia VPC, debe habilitar los nombres de host de DNS privados para los puntos de conexión de VPC. Para obtener más información, consulte Conectarse a la SageMaker IA a través de un punto final de interfaz de VPC.

SageMaker Canvas solo accede a otros AWS servicios para administrar y almacenar datos para su funcionalidad. Por ejemplo, se conecta a Amazon Redshift si los usuarios acceden a una base de datos de Amazon Redshift. Puede conectarse a un AWS servicio como Amazon Redshift mediante una conexión a Internet o un punto final de VPC. Usa puntos de conexión de VPC si quieres configurar conexiones desde tu VPC a AWS servicios que no utilizan la Internet pública.

Un punto final de VPC crea una conexión privada a un AWS servicio que utiliza una ruta de red aislada de la Internet pública. Por ejemplo, si configura el acceso a Amazon S3 mediante un punto de enlace de VPC desde su propia VPC, la aplicación SageMaker Canvas puede acceder a Amazon S3 a través de la interfaz de red de su VPC y, después, a través del punto de enlace de VPC que se conecta a Amazon S3. La comunicación entre SageMaker Canvas y Amazon S3 es privada.

Para obtener más información acerca de la configuración de puntos de conexión de VPC, consulte AWS PrivateLink. Si utiliza modelos de Amazon Bedrock en Canvas con una VPC, para obtener más información sobre cómo controlar el acceso a sus datos, consulte Protección de trabajos mediante una VPC en la Guía del usuario de Amazon Bedrock.

Los siguientes son los puntos finales de VPC para cada servicio que puede usar con Canvas: SageMaker

Servicio Punto de conexión Tipo de punto de conexión

AWS Application Auto Scaling

com.amazonaws. Region.escalado automático de aplicaciones

Interfaz

Amazon Athena

com.amazonaws. Region.athena

Interfaz

Amazon SageMaker AI

com.amazonaws. Region.sagemaker.api

com.amazonaws. Region.sagemaker.runtime

com.amazonaws. Region.cuaderno

Interfaz

Asistente de ciencia de datos de Amazon SageMaker AI

com.amazonaws. Region. sagemaker-data-science-assistant

Interfaz

AWS Security Token Service

com.amazonaws. Region.sts

Interfaz

Amazon Elastic Container Registry (Amazon ECR)

com.amazonaws. Region.ecr.api

com.amazonaws. Region.ecr.dkr

Interfaz

Amazon Elastic Compute Cloud (Amazon EC2)

com.amazonaws. Region.ec2

Interfaz

Amazon Simple Storage Service (Amazon S3)

com.amazonaws. Region.s3

Puerta de enlace

Amazon Redshift

com.amazonaws. Region.redshift-data

Interfaz

AWS Secrets Manager

com.amazonaws. Region.administrador de secretos

Interfaz

AWS Systems Manager

com.amazonaws. Region.ssm

Interfaz

Amazon CloudWatch

com.amazonaws. Region.monitoreo

Interfaz

Amazon CloudWatch Logs

com.amazonaws. Region.logs

Interfaz

Amazon Forecast

com.amazonaws. Region.pronóstico

com.amazonaws. Region.forecastquery

Interfaz

Amazon Textract

com.amazonaws. Region.t extract

Interfaz

Amazon Comprehend

com.amazonaws. Region.comprender

Interfaz

Amazon Rekognition

com.amazonaws. Region.reconocimiento

Interfaz

AWS Glue

com.amazonaws. Region.pegamento

Interfaz

AWS Application Auto Scaling

com.amazonaws. Region.escalado automático de aplicaciones

Interfaz

Amazon Relational Database Service (Amazon RDS)

com.amazonaws. Region.rds

Interfaz

Amazon Bedrock (ver nota después de la tabla)

com.amazonaws. Region.bedrock-runtime

Interfaz

Amazon Kendra

com.amazonaws. Region.kendra

Interfaz

Amazon EMR sin servidor

com.amazonaws. Region.emr-serverless

Interfaz

Desarrollador de Amazon Q (consulte la nota después de la tabla)

com.amazonaws. Regionq.

Interfaz
nota

El punto de conexión de VPC para desarrolladores de Amazon Q solo está disponible actualmente en la región EE.UU. Este (Norte de Virginia). Para conectarse a él desde otras regiones, puede elegir una de las siguientes opciones en función de sus preferencias de seguridad e infraestructura:

nota

En el caso de Amazon Bedrock, el nombre del servicio de punto de conexión de la interfaz com.amazonaws.Region.bedrock ha quedado obsoleto. Cree un nuevo punto de conexión de VPC con el nombre de servicio que aparece en la tabla anterior.

Además, no se pueden ajustar los modelos de base de Canvas sin acceso VPCs a Internet. Esto se debe a que Amazon Bedrock no admite puntos de enlace de VPC para la personalización de modelos. APIs Para obtener más información sobre cómo afinar un modelo fundacional en Canvas, consulte Afinamiento de modelos fundacionales.

También debe añadir una política de puntos de conexión para que Amazon S3 controle el acceso AWS principal a su punto de enlace de VPC. Para obtener información sobre cómo actualizar la política de puntos de conexión de VPC, consulte Uso de políticas de punto de conexión para controlar el acceso a puntos de conexión de VPC.

A continuación, se muestran dos políticas de puntos de punto de conexión de VPC que puede utilizar. Utilice la primera política si solo desea conceder acceso a las funciones básicas de Canvas, como importación de datos y creación de modelos. Utilice la segunda política si quiere desea acceso a las características adicionales de IA generativa en Canvas.

Basic VPC endpoint policy

La siguiente política concede el acceso necesario a un punto de conexión de VPC para operaciones básicas en Canvas.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }
Generative AI VPC endpoint policy

La siguiente política otorga el acceso necesario a su punto de conexión de VPC para realizar operaciones básicas en Canvas, además de utilizar modelos fundacionales de IA generativa.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*",
                "arn:aws:s3:::*fmeval/datasets*",
                "arn:aws:s3:::*jumpstart-cache-prod*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }

Paso 3: Concesión de permisos de IAM

El usuario de SageMaker Canvas debe tener los AWS Identity and Access Management permisos necesarios para permitir la conexión a los puntos finales de la VPC. La función de IAM a la que concedas permisos debe ser la misma que utilizaste al incorporarte al dominio de Amazon SageMaker AI. Puede adjuntar la AmazonSageMakerFullAccess política gestionada por SageMaker IA a la función de IAM del usuario para concederle los permisos necesarios. Si necesitas permisos de IAM más restrictivos y, en su lugar, utilizas políticas personalizadas, concede el permiso al rol del ec2:DescribeVpcEndpointServices usuario. SageMaker Canvas requiere estos permisos para verificar la existencia de los puntos finales de VPC necesarios para los trabajos de construcción estándar. Si detecta estos puntos de conexión de VPC, los trabajos de compilación estándares se ejecutan de forma predeterminada en la VPC. De lo contrario, se ejecutarán en la VPC AWS gestionada predeterminada.

Para obtener instrucciones sobre cómo asociar la política de AmazonSageMakerFullAccess IAM al rol de IAM del usuario, consulte Adición y eliminación de permisos de identidad de IAM.

Para conceder el permiso detallado ec2:DescribeVpcEndpointServices al rol de IAM de su usuario, utilice el siguiente procedimiento.

  1. Inicie sesión en la consola de IAM AWS Management Console y ábrala.

  2. Seleccione Roles en el panel de navegación.

  3. En la lista, seleccione el nombre del rol para el que quiera conceder los permisos.

  4. Elija la pestaña Permisos.

  5. Seleccione Agregar permisos y, a continuación, Crear política insertada.

  6. Elija la pestaña JSON e introduzca la siguiente política, que otorga el permiso ec2:DescribeVpcEndpointServices:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "ec2:DescribeVpcEndpointServices",
            "Resource": "*"
        }
    ]
}

  7. Seleccione Revisar política y después especifique un Nombre para la política (por ejemplo, VPCEndpointPermissions).

  8. Elija Crear política.

El rol de IAM del usuario ahora debería tener permisos para acceder a los puntos de conexión de VPC configurados en su VPC.

(Opcional) Paso 4: Anular la configuración del grupo de seguridad para usuarios específicos

Si es administrador, es posible que quiera que los distintos usuarios tengan una configuración de VPC diferente o una configuración de VPC específica para cada usuario. Al anular la configuración predeterminada del grupo de seguridad de la VPC para un usuario específico, esta configuración se transfiere a la aplicación SageMaker Canvas de ese usuario.

Puede anular los grupos de seguridad a los que tiene acceso un usuario específico en su VPC al configurar un nuevo perfil de usuario en Studio Classic. Puede usar la llamada a la CreateUserProfile SageMaker API (o create_user_profile con la AWS CLI) y, luego, en, puede especificar la para el UserSettings usuario. SecurityGroups