Connect Amazon SageMaker Studio in VPC a con recursos externos - Amazon SageMaker
Comunicación predeterminada con InternetComunicación VPC only con Internet

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Connect Amazon SageMaker Studio in VPC a con recursos externos

importante

A partir del 30 de noviembre de 2023, la experiencia anterior de Amazon SageMaker Studio pasa a denominarse Amazon SageMaker Studio Classic. La siguiente sección trata específicamente sobre el uso de la experiencia de Studio actualizada. Para obtener información sobre el uso de la aplicación Studio Classic, consulteAmazon SageMaker Studio Clásico.

En el siguiente tema se proporciona información sobre cómo conectar Amazon SageMaker Studio VPC a recursos externos.

Comunicación predeterminada con Internet

De forma predeterminada, Amazon SageMaker Studio proporciona una interfaz de red que permite la comunicación con Internet a través de una interfaz VPC gestionada por SageMaker. El tráfico a AWS servicios como Amazon S3 CloudWatch pasa por una puerta de enlace a Internet, al igual que el tráfico que accede al SageMaker API SageMaker entorno de ejecución. El tráfico entre el dominio y tu EFS volumen de Amazon pasa por el VPC que especificaste cuando te incorporaste al dominio o al que llamaste. CreateDomainAPI

Comunicación VPC only con Internet

Para SageMaker evitar proporcionar acceso a Internet a Studio, puedes inhabilitar el acceso a Internet especificando el tipo de acceso a la VPC only red cuando te conectes a Studio o llames al. CreateDomainAPI Como resultado, no podrás ejecutar Studio a menos que dispongas de un terminal de interfaz para el SageMaker API entorno de ejecución o de una NAT puerta de enlace con acceso a Internet, y tus grupos de seguridad permitan las conexiones salientes. VPC

nota

El tipo de acceso a la red se puede cambiar tras la creación del dominio mediante el --app-network-access-type parámetro del comando update-domain.

Requisitos para usar el modo VPC only

Si ha elegido VpcOnly, siga estos pasos:

  1. Debe utilizar solo subredes privadas. No puede usar subredes públicas en el modo VpcOnly.

  2. Asegúrese de que sus subredes tengan la cantidad necesaria de direcciones IP. La cantidad esperada de direcciones IP necesarias por usuario puede variar según el caso de uso. Se recomiendan entre 2 y 4 direcciones IP por usuario. La capacidad total de direcciones IP de un dominio es la suma de las direcciones IP disponibles para cada subred proporcionada al crear el dominio. Asegúrese de que el uso estimado de direcciones IP no supere la capacidad admitida por la cantidad de subredes que proporcione. Además, el uso de subredes distribuidas en muchas zonas de disponibilidad puede mejorar la disponibilidad de las direcciones IP. Para obtener más información, consulte el artículo sobre el tamaño de VPC las subredes para. IPv4

    nota

    Solo puedes configurar subredes con una tenencia predeterminada en la que la instancia se ejecute VPC en hardware compartido. Para obtener más información sobre el atributo de arrendamientoVPCs, consulta Instancias dedicadas.

  3. aviso

    Al usar el modo VpcOnly, usted es propietario parcial de la configuración de red del dominio. Se recomienda la práctica de aplicar permisos de privilegio mínimo al acceso entrante y saliente que proporcionan las reglas del grupo de seguridad. Las configuraciones de reglas de entrada excesivamente permisivas podrían permitir a los usuarios con acceso a ellas interactuar con las VPC aplicaciones de otros perfiles de usuario sin necesidad de autenticación.

    Configure uno o más grupos de seguridad con reglas de entrada y salida que permitan el siguiente tráfico:

    Cree un grupo de seguridad distinto para cada perfil de usuario y agregue el acceso entrante desde ese mismo grupo de seguridad. No se recomienda reutilizar un grupo de seguridad a nivel de dominio para los perfiles de usuario. Si el grupo de seguridad de nivel de dominio permite el acceso entrante a sí mismo, todas las aplicaciones del dominio tendrán acceso a todas las demás aplicaciones del dominio.

  4. Si desea permitir el acceso a Internet, debe utilizar una NATpuerta de enlace con acceso a Internet, por ejemplo, a través de una puerta de enlace de Internet.

  5. Si no quiere permitir el acceso a Internet, cree VPC puntos de conexión de interfaz (AWS PrivateLink) para que Studio pueda acceder a los siguientes servicios con los nombres de servicio correspondientes. También debe asociar sus grupos de seguridad a estos puntos VPC de conexión.

    • SageMaker API : com.amazonaws.region.sagemaker.api.

    • SageMaker tiempo de ejecución:com.amazonaws.region.sagemaker.runtime. Esto es necesario para ejecutar los cuadernos de Studio y para entrenar y alojar modelos.

    • Amazon S3: com.amazonaws.region.s3.

    • SageMaker Proyectos:com.amazonaws.region.servicecatalog.

    • SageMaker Estudio:aws.sagemaker.region.studio.

    • Cualquier otro AWS servicio que necesite.

    Si utilizas SageMaker Python SDK para ejecutar tareas de formación remota, también debes crear los siguientes VPC puntos de enlace de Amazon.

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch:com.amazonaws.region.logs. Esto es necesario para que SageMaker Python pueda SDK obtener el estado del trabajo de formación remota desde Amazon CloudWatch.

  6. Si utilizas el dominio en VpcOnly modo desde una red local, establece una conectividad privada desde la red del host que ejecuta Studio en el navegador y el Amazon VPC de destino. Esto es obligatorio porque la interfaz de usuario de Studio invoca los AWS puntos finales mediante API llamadas con credenciales temporales. AWS Estas credenciales temporales están asociadas a la función de ejecución del perfil de usuario registrado. Si el dominio está configurado en VpcOnly modo en una red local, la función de ejecución podría definir condiciones de IAM política que exijan la ejecución de las API llamadas de AWS servicio únicamente a través de los Amazon VPC Endpoints configurados. Esto provoca que las API llamadas ejecutadas desde la interfaz de usuario de Studio fallen. Recomendamos resolver este problema mediante una conexión o. AWS Site-to-Site VPNAWS Direct Connect

nota

Para un cliente que trabaja dentro del VPC modo, los firewalls de la empresa pueden provocar problemas de conexión con Studio o con las aplicaciones. Realiza las siguientes comprobaciones si te encuentras con alguno de estos problemas al usar Studio desde un firewall.

  • Comprueba que Studio URL y URLs todas tus aplicaciones estén en la lista de aplicaciones permitidas de la red. Por ejemplo:

    *.studio.region.sagemaker.aws
*.console.aws.a2z.com

  • Compruebe que las conexiones de websocket no estén bloqueadas. Jupyter usa websockets.

Para obtener más información