Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Conexión a una instancia de bloc de notas a través de un punto de enlace de interfaz de VPC
Puede conectarse a su instancia de cuaderno desde su VPC a través de un punto de conexión de interfaz en su nube privada virtual (VPC) en lugar de conectarse a través de Internet. Cuando se utiliza un punto de conexión de interfaz de la VPC, la comunicación entre la VPC y la instancia de cuaderno se realiza en su totalidad y de forma segura dentro de la red de AWS .
SageMaker las instancias de notebook son compatibles con los puntos de enlace de la interfaz Amazon Virtual Private Cloud (Amazon VPC) que funcionan con la tecnología de. AWS PrivateLink Cada punto de conexión de VPC está representado por una o varias interfaces de red elástica con direcciones IP privadas en las subredes de la VPC.
nota
Antes de crear un punto de enlace de VPC de interfaz para conectarse a una instancia de notebook, cree un punto de enlace de VPC de interfaz para conectarse a la API. SageMaker De esa forma, cuando los usuarios llamen CreatePresignedNotebookInstanceUrlpara obtener la URL para conectarse a la instancia de notebook, esa llamada también pasa por el punto final de la interfaz de la VPC. Para obtener más información, consulte Conéctese a la SageMaker IA desde su VPC.
Puede crear un punto final de interfaz para conectarse a su instancia de notebook con los comandos AWS Management Console o AWS Command Line Interface (AWS CLI). Para obtener instrucciones, consulte Creating an Interface Endpoint. Asegúrese de crear un punto de enlace de interfaz para todas las subredes de la VPC desde la que desea conectarse a la instancia del bloc de notas.
Al crear el punto final de la interfaz, especifique aws.sagemaker. Region.notebook como nombre del servicio. Después de crear un punto de enlace de la VPC, habilite DNS privado para el punto de enlace de la VPC. Cualquier persona que utilice la SageMaker API AWS CLI, la consola o la consola para conectarse a la instancia de notebook desde la VPC se conecta a la instancia de notebook a través del punto de enlace de la VPC en lugar de a través de la Internet pública.
SageMaker las instancias de notebook admiten puntos de enlace de VPC en todos los lugares Regiones de AWS donde estén disponibles Amazon VPC y AI. SageMaker
Temas
Conexión de su red privada a su VPC
Para conectarse a su instancia de notebook a través de su VPC, debe conectarse desde una instancia que esté dentro de la VPC o conectar su red privada a su VPC mediante un () o. AWS Virtual Private Network AWS VPN AWS Direct Connect Para obtener más información AWS VPN, consulte Conexiones VPN en la Guía del usuario de Amazon Virtual Private Cloud. Para obtener más información AWS Direct Connect, consulte Creación de una conexión en la Guía del usuario de AWS Direct Connect.
Cree una política de puntos finales de VPC para instancias de SageMaker AI Notebook
Puedes crear una política para los puntos de enlace de Amazon VPC para instancias de SageMaker notebook con el fin de especificar lo siguiente:
-
La entidad principal que puede realizar acciones.
-
Las acciones que se pueden realizar.
-
Los recursos en los que se pueden llevar a cabo las acciones.
Para obtener más información, consulte Controlar el acceso a servicios con puntos de conexión de VPC en la Guía del usuario de Amazon VPC.
A continuación, se muestra un ejemplo de política de punto de enlace de la VPC que especifica que todos los usuarios que tienen acceso al punto de enlace pueden obtener acceso a la instancia de bloc de notas denominada myNotebookInstance.
{ "Statement": [ { "Action": "sagemaker:CreatePresignedNotebookInstanceUrl", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance", "Principal": "*" } ] }
El acceso a otras instancias de bloc de notas se deniega.
Restricción del acceso a conexiones desde la VPC
Incluso si configura un punto de enlace de interfaz en la VPC, las personas de fuera de la VPC puede conectarse a la instancia de bloc de notas a través de Internet.
importante
Si aplica una política de IAM similar a una de las siguientes, los usuarios no podrán acceder a la instancia especificada SageMaker APIs ni a la instancia de notebook a través de la consola.
Para restringir el acceso solo a las conexiones realizadas desde la VPC, cree una política de AWS Identity and Access Management que restrinja el acceso solo a las llamadas que proceden de dentro de la VPC. A continuación, añada esa política a cada AWS Identity and Access Management usuario, grupo o rol que utilice para acceder a la instancia de notebook.
nota
Esta política únicamente permite las conexiones a los intermediarios que se encuentren dentro de una subred en la que se haya creado un punto de enlace de interfaz.
{ "Id": "notebook-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable Notebook Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedNotebookInstanceUrl", "sagemaker:DescribeNotebookInstance" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-111bbaaa" } } } ] }
Si desea restringir el acceso a la instancia de cuaderno únicamente a conexiones realizadas mediante el punto de conexión de interfaz, utilice la clave de condición aws:SourceVpce en lugar de aws:SourceVpc:.
{ "Id": "notebook-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable Notebook Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedNotebookInstanceUrl", "sagemaker:DescribeNotebookInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": [ "vpce-111bbccc", "vpce-111bbddd" ] } } } ] }
En ambos ejemplos de políticas se supone que también has creado un punto final de interfaz para la SageMaker API. Para obtener más información, consulte Conéctese a la SageMaker IA desde su VPC. En el segundo ejemplo, uno de los valores de aws:SourceVpce es el ID del punto de enlace de la interfaz para la instancia de bloc de notas. El otro es el ID del punto final de la interfaz de la SageMaker API.
Los ejemplos de políticas que aparecen aquí incluyen
DescribeNotebookInstance, porque lo normal es que llames DescribeNotebookInstance para asegurarte de que NotebookInstanceStatus está InService antes de intentar conectarte a él. Por ejemplo:
aws sagemaker describe-notebook-instance \ --notebook-instance-name myNotebookInstance { "NotebookInstanceArn": "arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance", "NotebookInstanceName": "myNotebookInstance", "NotebookInstanceStatus": "InService", "Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws", "InstanceType": "ml.m4.xlarge", "RoleArn": "arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456", "LastModifiedTime": 1540334777.501, "CreationTime": 1523050674.078, "DirectInternetAccess": "Disabled" } aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance { "AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=AuthToken}
nota
La presigned-notebook-instance-url, AuthorizedUrl, generada se puede utilizar desde cualquier lugar de Internet.
Para estas dos llamadas, si no habilitó los nombres de host DNS privados para su punto de enlace de VPC o si utiliza una versión del SDK publicada antes AWS del 13 de agosto de 2018, debe especificar la URL del punto de conexión en la llamada. Por ejemplo, la llamada a create-presigned-notebook-instance-url es:
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-namemyNotebookInstance--endpoint-urlVPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
