Configure el acceso a la red entre Studio y las fuentes de datos (para administradores) - Amazon SageMaker
Studio y el almacén de datos por separado VPCsStudio y el almacén de datos en el mismo lugar VPCStudio y el almacén de datos se comunican a través de Internet público

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configure el acceso a la red entre Studio y las fuentes de datos (para administradores)

En esta sección se proporciona información sobre cómo los administradores pueden configurar una red para permitir la comunicación entre Amazon SageMaker Studio y Amazon Redshift o Amazon Athena, ya sea dentro de un VPC Amazon privado o a través de Internet. Las instrucciones de red varían en función de si el dominio de Studio y el almacén de datos están desplegados en una Amazon Virtual Private Cloud (VPC) privada o si se comunican a través de Internet.

De forma predeterminada, Studio se ejecuta en un entorno AWS gestionado VPC con acceso a Internet. Cuando se utiliza una conexión a Internet, Studio accede a AWS los recursos, como los buckets de Amazon S3, a través de Internet. Sin embargo, si tiene requisitos de seguridad para controlar el acceso a sus contenedores de datos y trabajos, le recomendamos que configure Studio y su almacén de datos (Amazon Redshift o Athena) para que no se pueda acceder a sus datos y contenedores a través de Internet. Para controlar el acceso a tus recursos o ejecutar Studio sin acceso público a Internet, puedes especificar el tipo de acceso a la VPC only red al incorporarte al SageMaker dominio de Amazon. En este escenario, Studio establece conexiones con otros AWS servicios a través de VPCpuntos de conexión privados. Para obtener información sobre cómo configurar Studio en VPC only el modo, consulte Conectar Studio a recursos externos en un VPC.

nota

Para conectarse a Snowflake, el dominio VPC de Studio debe tener acceso a Internet.

En las dos primeras secciones se describe cómo garantizar la comunicación entre tu dominio de Studio y tu almacén de datos VPCs sin acceso público a Internet. En la última sección, se explica cómo garantizar la comunicación entre Studio y tu almacén de datos mediante una conexión a Internet. Antes de conectar Studio y su almacén de datos sin acceso a Internet, asegúrese de establecer puntos de enlace para Amazon Simple Storage Service, Amazon Redshift o Athena SageMaker, y para CloudWatch Amazon y (registro AWS CloudTrail y supervisión).

Studio y el almacén de datos se implementan por separado VPCs

Para permitir la comunicación entre Studio y un almacén de datos implementado en diferentes ubicacionesVPCs:

  1. Comience por conectarlo a VPCs través de una conexión entre VPC pares.

  2. Actualiza las tablas de enrutamiento de cada una de ellas VPC para permitir el tráfico de red bidireccional entre las subredes de Studio y las subredes del almacén de datos.

  3. Configure sus grupos de seguridad para permitir el tráfico entrante y saliente.

Los pasos de configuración son los mismos tanto si Studio como el almacén de datos se implementan en una sola AWS cuenta o en cuentas diferentes AWS .

  1. VPCinterconexión

    Cree una conexión entre VPCpares para facilitar la conexión en red entre ambos VPCs (Studio y el almacén de datos).

    1. En la cuenta de Studio, en el VPC panel de control, selecciona Conexiones de interconexión y, a continuación, Crear conexión de interconexión.

    2. Crea tu solicitud para vincular el estudio VPC con el almacén de datos. VPC Cuando solicites la interconexión en otra AWS cuenta, selecciona Otra cuenta en Selecciona otra cuenta con VPC la que compartir.

      Para la interconexión entre cuentas, el administrador debe aceptar la solicitud de la cuenta del SQL motor.

      Al emparejar subredes privadas, debe habilitar la DNS resolución de IP privada en el nivel de conexión de VPC emparejamiento.

  2. Tablas de enrutamiento

    Configure el enrutamiento para permitir el tráfico de red entre las VPC subredes de Studio y las del almacén de datos en ambas direcciones.

    Tras establecer la conexión entre pares, el administrador (en cada cuenta para el acceso entre cuentas) puede añadir rutas a las tablas de rutas de las subredes privadas para enrutar el tráfico entre Studio y las subredes del data storeVPCs. Para definir esas rutas, vaya a la sección de tablas de rutas de cada una de ellas VPC en el panel de control. VPC

  3. Grupos de seguridad

    Por último, el grupo de seguridad del dominio de Studio VPC debe permitir el tráfico saliente y el grupo de seguridad del almacén de datos VPC debe permitir el tráfico entrante en el puerto del almacén de datos procedente del grupo de VPC seguridad de Studio.

Studio y el almacén de datos se implementan en el mismo lugar VPC

Si Studio y el almacén de datos se encuentran en subredes privadas diferentes en la misma subredVPC, añade rutas en la tabla de rutas de cada subred privada. Las rutas deberían permitir que el tráfico fluya entre las subredes de Studio y las subredes del almacén de datos. Puede definir esas rutas en la sección Tablas de rutas de cada una de ellas VPC en el VPC panel de control. Si implementó Studio y el almacén de datos en la misma VPC subred, no necesita enrutar el tráfico.

Independientemente de las actualizaciones de la tabla de enrutamiento, el grupo de seguridad del dominio de Studio VPC debe permitir el tráfico saliente y el grupo de seguridad del almacén de datos VPC debe permitir el tráfico entrante en su puerto desde el grupo de seguridad de VPC Studio.

Studio y el almacén de datos se comunican a través de Internet público

De forma predeterminada, Studio proporciona una interfaz de red que permite la comunicación con Internet a través de una puerta de enlace a Internet en el dominio VPC asociado al dominio de Studio. Si decides conectarte al almacén de datos a través de la Internet pública, el almacén de datos debe aceptar el tráfico entrante en su puerto.

Se debe usar una NATpuerta de enlace para permitir que las instancias de subredes privadas de varias unidades VPCs compartan una única dirección IP pública proporcionada por la puerta de enlace a Internet al acceder a Internet.

nota

Cada puerto abierto para el tráfico entrante representa un posible riesgo de seguridad. Revise con atención los grupos de seguridad personalizados para asegurarse de minimizar las vulnerabilidades.