Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Puede conectarse a Amazon SageMaker Studio y Amazon SageMaker Studio Classic desde su Amazon Virtual Private Cloud (Amazon VPC) a través de un punto de enlace de interfaz en su VPC en lugar de conectarse a través de Internet. Cuando utiliza un punto final de la interfaz de la VPC (punto final de la interfaz), la comunicación entre la VPC y Studio o Studio Classic se lleva a cabo de forma completa y segura dentro de la red. AWS
Studio y Studio Classic admiten puntos de conexión de interfaz basados en AWS PrivateLink. Cada punto de conexión de interfaz está representado por una o varias interfaces de red elástica con direcciones IP privadas en las subredes de la VPC.
Studio y Studio Classic admiten puntos de enlace de interfaz en todas AWS las regiones en las que están SageMaker disponibles Amazon AI
Temas
Crear un punto de enlace de la VPC
Puede crear un punto final de interfaz para conectarse a Studio o Studio Classic con la AWS consola o con AWS Command Line Interface ()AWS CLI. Para obtener instrucciones, consulte Creating an interface endpoint. Asegúrese de crear puntos de conexión de interfaz para todas las subredes de la VPC desde la que desea conectarse a Studio y Studio Classic.
Al crear un punto de conexión de interfaz, asegúrese de que los grupos de seguridad de su punto de conexión permitan el acceso entrante al tráfico HTTPS desde los grupos de seguridad asociados a Studio y Studio Classic. Para obtener más información, consulte Control access to services with VPC endpoints.
nota
Además de crear un punto final de interfaz para conectarse a Studio y Studio Classic, cree un punto final de interfaz para conectarse a la SageMaker API de Amazon. Cuando los usuarios llaman CreatePresignedDomainUrlpara obtener la URL para conectarse a Studio y Studio Classic, esa llamada pasa por el punto final de la interfaz utilizado para conectarse a la SageMaker API.
Cuando cree el punto de conexión de interfaz, especifique aws.sagemaker. como nombre del servicio para Studio o Studio Classic. Después de crear un punto de conexión de interfaz, habilite un DNS privado para su punto de conexión. Cuando te conectas a Studio o Studio Classic desde la VPC mediante la SageMaker API, la o la consola, te conectas a través del punto final de la interfaz en lugar de a través de la Internet pública. AWS CLI También debe configurar un DNS personalizado con zonas alojadas privadas para el punto de enlace de Amazon VPC para que Studio o Studio Classic puedan acceder a la SageMaker API mediante el punto de enlace en lugar de utilizar la Region.studioapi.sagemaker.$region.amazonaws.com URL del punto de enlace de VPC. Para obtener instrucciones sobre la configuración de una zona alojada privada, consulte Uso de zonas alojadas privadas.
Creación de una política de punto de conexión de VPC para Studio o Studio Classic
Puede asociar una política de puntos de conexión de Amazon VPC a los puntos de conexión de VPC de interfaz que utilice para conectarse a Studio o Studio Classic. La política de puntos de conexión controla el acceso a Studio o Studio Classic. Puede especificar lo siguiente:
-
La entidad principal que puede realizar acciones.
-
Las acciones que se pueden realizar.
-
Los recursos en los que se pueden llevar a cabo las acciones.
Para usar un punto de conexión de VPC con Studio o Studio Classic, la política de punto final debe permitir la CreateApp operación en el tipo de KernelGateway aplicación. Esto permite que el tráfico que se enruta a través del punto de conexión de VPC llame a la API CreateApp. En el siguiente ejemplo de política de punto de conexión de VPC se muestra cómo permitir la operación CreateApp.
{
"Statement": [
{
"Action": "sagemaker:CreateApp",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*",
"Principal": "*"
}
]
}Para obtener más información, consulte Control del acceso a los servicios con puntos de conexión de VPC.
El siguiente ejemplo de una política de punto final de VPC especifica que todos los usuarios que tienen acceso al punto final pueden acceder a los perfiles de usuario del dominio de SageMaker IA con el ID de dominio especificado. Se deniega el acceso a otros dominios.
{
"Statement": [
{
"Action": "sagemaker:CreatePresignedDomainUrl",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*",
"Principal": "*"
}
]
}Permitir el acceso solo desde su VPC
Los usuarios ajenos a su VPC pueden conectarse a Studio o Studio Classic a través de Internet, incluso si ha configurado un punto de conexión de interfaz en su VPC.
Para permitir el acceso únicamente a las conexiones realizadas desde su VPC, cree una política de AWS Identity and Access Management (IAM) a tal efecto. Añada dicha política a todos los usuarios, grupos o roles que se han utilizado para obtener acceso a Studio o Studio Classic. Esta característica solo se admite cuando se utiliza el modo IAM para la autenticación y no en el modo IAM Identity Center. En los siguientes ejemplos se muestra cómo crear dichas políticas.
importante
Si aplicas una política de IAM similar a uno de los siguientes ejemplos, los usuarios no podrán acceder a Studio o Studio Classic ni a las especificadas SageMaker APIs a través de la consola de SageMaker IA. Para acceder a Studio o Studio Classic, los usuarios deben usar una URL prefirmada o llamarlos directamente. SageMaker APIs
Ejemplo 1: Permitir las conexiones solo dentro de la subred de un punto de conexión de interfaz
La siguiente política únicamente permite las conexiones a los intermediarios que se encuentren dentro de una subred en la que se haya creado un punto de conexión de interfaz.
{
"Id": "sagemaker-studio-example-1",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable SageMaker Studio Access",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}Ejemplo 2: Permitir las conexiones solo a través de los puntos de conexión de la interfaz mediante aws:sourceVpce
La siguiente política solo permite las conexiones que se realizan a través de los puntos de conexión de interfaz especificados en la clave de condición aws:sourceVpce. Por ejemplo, el primer punto final de la interfaz podría permitir el acceso a través de la consola de SageMaker IA. El segundo punto final de la interfaz podría permitir el acceso a través de la SageMaker API.
{
"Id": "sagemaker-studio-example-2",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable SageMaker Studio Access",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}La política incluye la acción DescribeUserProfile. Normalmente, se llama a DescribeUserProfile para comprobar que el estado del perfil de usuario es InService antes de intentar conectarse al dominio. Por ejemplo:
aws sagemaker describe-user-profile \ --domain-iddomain-id\ --user-profile-nameprofile-name
Respuesta:
{
"DomainId": "domain-id",
"UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name",
"UserProfileName": "profile-name",
"HomeEfsFileSystemUid": "200001",
"Status": "InService",
"LastModifiedTime": 1605418785.555,
"CreationTime": 1605418477.297
}aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name
Respuesta:
{
"AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken"
}Para estas dos llamadas, si utilizas una versión del AWS SDK publicada antes del 13 de agosto de 2018, debes especificar la URL del punto de conexión en la llamada. Por ejemplo, en el siguiente ejemplo se muestra una llamada a create-presigned-domain-url:
aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name\ --endpoint-urlvpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com
Ejemplo 3: Permitir las conexiones desde las direcciones IP mediante aws:SourceIp
La siguiente política permite las conexiones solo desde el rango especificado de direcciones IP mediante la clave de condición aws:SourceIp.
{
"Id": "sagemaker-studio-example-3",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable SageMaker Studio Access",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}Ejemplo 4: Permitir las conexiones desde las direcciones IP a través de un punto de conexión de interfaz mediante aws:VpcSourceIp
Si accede a Studio o Studio Classic a través de un punto de conexión de interfaz, puede utilizar la clave de condición aws:VpcSourceIp para permitir las conexiones únicamente desde el rango especificado de direcciones IP dentro de la subred en la que creó el punto de conexión de la interfaz, como se muestra en la siguiente política:
{
"Id": "sagemaker-studio-example-4",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable SageMaker Studio Access",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}