Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
L'application Amazon SageMaker Canvas s'exécute dans un conteneur au sein d'un Amazon Virtual Private Cloud (VPC) AWS géré. Si vous souhaitez contrôler davantage l'accès à vos ressources ou exécuter SageMaker Canvas sans accès public à Internet, vous pouvez configurer votre domaine Amazon SageMaker AI et les paramètres VPC. Au sein de votre propre VPC, vous pouvez configurer des paramètres tels que les groupes de sécurité (pare-feux virtuels qui contrôlent le trafic entrant et sortant des instances EC2 Amazon) et les sous-réseaux (plages d'adresses IP dans votre VPC). Pour en savoir plus VPCs, consultez Comment fonctionne Amazon VPC.
Lorsque l'application SageMaker Canvas est exécutée dans le VPC AWS géré, elle peut interagir avec d'autres AWS services via une connexion Internet ou via des points de terminaison VPC créés dans un VPC géré par le client (sans accès public à Internet). SageMaker Les applications Canvas peuvent accéder à ces points de terminaison VPC via une interface réseau créée par Studio Classic qui fournit une connectivité au VPC géré par le client. Le comportement par défaut de l'application SageMaker Canvas est d'avoir accès à Internet. Lorsque vous utilisez une connexion Internet, les conteneurs des tâches précédentes accèdent aux ressources AWS via Internet, telles que les compartiments Amazon S3 où vous stockez les données d'entraînement et les artefacts de modèle.
Toutefois, si vous avez des exigences de sécurité pour contrôler l'accès à vos conteneurs de données et de tâches, nous vous recommandons de configurer SageMaker Canvas et votre VPC de manière à ce que vos données et conteneurs ne soient pas accessibles sur Internet. SageMaker AI utilise les paramètres de configuration VPC que vous spécifiez lors de la configuration de votre domaine pour SageMaker Canvas.
Si vous souhaitez configurer votre application SageMaker Canvas sans accès à Internet, vous devez configurer vos paramètres VPC lorsque vous intégrez le domaine Amazon SageMaker AI, configurez les points de terminaison VPC et accordez les autorisations nécessaires. AWS Identity and Access Management Pour plus d'informations sur la configuration d'un VPC dans Amazon SageMaker AI, consultez. Choix d'un réseau Amazon VPC Les sections suivantes décrivent comment exécuter SageMaker Canvas dans un VPC sans accès public à Internet.
Configuration d'Amazon SageMaker Canvas dans un VPC sans accès à Internet
Vous pouvez envoyer du trafic de SageMaker Canvas vers d'autres AWS services via votre propre VPC. Si votre propre VPC n'a pas d'accès public à Internet et que vous avez configuré votre domaine en mode VPC uniquement, SageMaker Canvas n'aura pas non plus d'accès public à Internet. Cela inclut toutes les demandes, telles que l'accès aux jeux de données dans Amazon S3 ou les tâches d'entraînement pour les versions standard, et les demandes passent par les points de terminaison d'un VPC dans votre VPC au lieu de l'Internet public. Lorsque vous vous connectez au domaine etChoix d'un réseau Amazon VPC, vous pouvez spécifier votre propre VPC comme VPC par défaut pour le domaine, ainsi que les paramètres de groupe de sécurité et de sous-réseau souhaités. SageMaker L'IA crée ensuite une interface réseau dans votre VPC que SageMaker Canvas utilise pour accéder aux points de terminaison VPC de votre VPC.
Assurez-vous de configurer un ou plusieurs groupes de sécurité dans votre VPC avec des règles entrantes et sortantes qui autorisent le trafic TCP au sein du groupe de sécurité. Cela est nécessaire pour la connectivité entre l'application Jupyter Server et les applications Kernel Gateway. Vous devez autoriser l'accès à au moins des ports situés dans la plage 8192-65535
. Veillez également à créer un groupe de sécurité distinct pour chaque profil utilisateur et à ajouter un accès entrant à partir de ce même groupe de sécurité. Nous déconseillons de réutiliser un groupe de sécurité au niveau du domaine pour les profils utilisateur. Si le groupe de sécurité au niveau du domaine autorise l'accès entrant à lui-même, toutes les applications du domaine ont accès à toutes les autres applications du domaine. Notez que les paramètres du groupe de sécurité et du sous-réseau sont définis une fois l'intégration au domaine terminée.
Lors de l'intégration au domaine, si vous choisissez Internet public uniquement comme type d'accès au réseau, le VPC SageMaker est géré par l'IA et permet l'accès à Internet.
Vous pouvez modifier ce comportement en choisissant VPC uniquement afin que l' SageMaker IA envoie tout le trafic vers une interface réseau créée par l' SageMaker IA dans le VPC que vous avez spécifié. Lorsque vous choisissez cette option, vous devez fournir les sous-réseaux, les groupes de sécurité et les points de terminaison VPC nécessaires pour communiquer avec SageMaker l'API SageMaker et AI Runtime, ainsi que les AWS différents services, tels qu'Amazon S3 et CloudWatch Amazon, utilisés par Canvas. SageMaker Notez que vous ne pouvez importer des données qu'à partir de compartiments Amazon S3 situés dans la même région que votre VPC.
Les procédures suivantes montrent comment configurer ces paramètres pour utiliser SageMaker Canvas sans Internet.
Étape 1 : Intégration au domaine Amazon SageMaker AI
Pour envoyer le trafic SageMaker Canvas vers une interface réseau dans votre propre VPC plutôt que via Internet, spécifiez le VPC que vous souhaitez utiliser lors de l'intégration au domaine Amazon AI. SageMaker Vous devez également spécifier au moins deux sous-réseaux dans votre VPC SageMaker que l'IA peut utiliser. Choisissez Configuration standard et suivez la procédure suivante lors de la configuration de la section Réseau et stockage pour le domaine.
Sélectionnez votreVPC préféré.
Choisissez deux Subnets (Sous-réseaux) ou plus. Si vous ne spécifiez pas les sous-réseaux, SageMaker AI utilise tous les sous-réseaux du VPC.
-
Choisissez un ou plusieurs groupes de sécurité.
Choisissez VPC Only pour désactiver l'accès direct à Internet dans le AWS VPC géré où SageMaker Canvas est hébergé.
Après avoir désactivé l'accès à Internet, terminez le processus d'intégration pour configurer votre domaine. Pour plus d'informations sur les paramètres VPC pour le domaine Amazon SageMaker AI, consultez. Choix d'un réseau Amazon VPC
Étape 2 : configurer les points de terminaison de VPC et l'accès
Note
Pour configurer Canvas dans votre propre VPC, vous devez activer les noms d'hôtes DNS privés pour vos points de terminaison de VPC. Pour plus d'informations, consultez Se connecter à l' SageMaker IA via un point de terminaison d'interface VPC.
SageMaker Canvas accède uniquement aux autres AWS services pour gérer et stocker les données nécessaires à ses fonctionnalités. Par exemple, il se connecte à Amazon Redshift si vos utilisateurs accèdent à une base de données Amazon Redshift. Il peut se connecter à un AWS service tel qu'Amazon Redshift à l'aide d'une connexion Internet ou d'un point de terminaison VPC. Utilisez des points de terminaison VPC si vous souhaitez configurer des connexions entre votre VPC et des AWS services qui n'utilisent pas l'Internet public.
Un point de terminaison VPC crée une connexion privée à un AWS service qui utilise un chemin réseau isolé de l'Internet public. Par exemple, si vous configurez l'accès à Amazon S3 à l'aide d'un point de terminaison VPC à partir de votre propre VPC, l'application SageMaker Canvas peut accéder à Amazon S3 en passant par l'interface réseau de votre VPC, puis via le point de terminaison VPC qui se connecte à Amazon S3. La communication entre SageMaker Canvas et Amazon S3 est privée.
Pour plus d'informations sur la configuration des points de terminaison d'un VPC, consultez AWS PrivateLink. Si vous utilisez des modèles Amazon Bedrock dans Canvas avec un VPC, vous pouvez obtenir des informations sur le contrôle de l'accès à vos données en consultant Protection des tâches à l'aide d'un VPC dans le Guide de l'utilisateur Amazon Bedrock (langue française non garantie).
Voici les points de terminaison VPC pour chaque service que vous pouvez utiliser avec Canvas : SageMaker
Service | Point de terminaison | Type de point de terminaison |
---|---|---|
AWS Application Auto Scaling |
com.amazonaws. |
utilisateur |
Amazon Athena |
com.amazonaws. |
utilisateur |
Amazon SageMaker AI |
com.amazonaws. com.amazonaws. com.amazonaws. |
utilisateur |
Assistant de science des données Amazon SageMaker AI |
com.amazonaws. |
utilisateur |
AWS Security Token Service |
com.amazonaws. |
utilisateur |
Amazon Elastic Container Registry (Amazon ECR) |
com.amazonaws. com.amazonaws. |
utilisateur |
Amazon Elastic Compute Cloud (Amazon EC2) |
com.amazonaws. |
utilisateur |
Amazon Simple Storage Service (Amazon S3) |
com.amazonaws. |
Passerelle |
Amazon Redshift |
com.amazonaws. |
utilisateur |
AWS Secrets Manager |
com.amazonaws. |
utilisateur |
AWS Systems Manager |
com.amazonaws. |
utilisateur |
Amazon CloudWatch |
com.amazonaws. |
utilisateur |
Amazon CloudWatch Logs |
com.amazonaws. |
utilisateur |
Amazon Forecast |
com.amazonaws. com.amazonaws. |
utilisateur |
Amazon Textract |
com.amazonaws. |
utilisateur |
Amazon Comprehend |
com.amazonaws. |
utilisateur |
Amazon Rekognition |
com.amazonaws. |
utilisateur |
AWS Glue |
com.amazonaws. |
utilisateur |
AWS Application Auto Scaling |
com.amazonaws. |
utilisateur |
Amazon Relational Database Service (Amazon RDS) |
com.amazonaws. |
utilisateur |
Amazon Bedrock (voir note après le tableau) |
com.amazonaws. |
utilisateur |
Amazon Kendra |
com.amazonaws. |
utilisateur |
Amazon EMR sans serveur |
com.amazonaws. |
utilisateur |
Amazon Q Developer (voir note après le tableau) |
com.amazonaws. |
utilisateur |
Note
Le point de terminaison VPC Amazon Q Developer n'est actuellement disponible que dans la région de l'est des États-Unis (Virginie du Nord). Pour vous y connecter depuis d'autres régions, vous pouvez choisir l'une des options suivantes en fonction de vos préférences en matière de sécurité et d'infrastructure :
Configurez une passerelle NAT. Configurez une passerelle NAT dans le sous-réseau privé de votre VPC pour activer la connectivité Internet pour le point de terminaison Q Developer. Pour plus d'informations, consultez Configuration d'une passerelle NAT dans un sous-réseau privé VPC
. Activez l'accès aux points de terminaison VPC entre régions. Configurez l'accès aux points de terminaison VPC entre régions pour Q Developer. Utilisez cette option pour vous connecter en toute sécurité sans avoir besoin d'un accès Internet. Pour plus d'informations, consultez Configuration de l'accès aux points de terminaison VPC entre régions
.
Note
Pour Amazon Bedrock, le nom du service de point de terminaison d'interface com.amazonaws.
est obsolète. Créez un point de terminaison de VPC avec le nom de service indiqué dans le tableau précédent.Region
.bedrock
De plus, vous ne pouvez pas affiner les modèles de base à partir de Canvas VPCs sans accès à Internet. Cela est dû au fait qu'Amazon Bedrock ne prend pas en charge les points de terminaison VPC pour la personnalisation des modèles. APIs Pour en savoir plus sur le réglage précis des modèles de base dans Canvas, voirAjustez les modèles de base.
Vous devez également ajouter une politique de point de terminaison pour Amazon S3 afin de contrôler l'accès AWS principal à votre point de terminaison VPC. Pour obtenir des informations sur la mise à jour de votre politique de points de terminaison de VPC, consultez Contrôle de l'accès aux points de terminaison de VPC à l'aide de politiques de points de terminaison.
Voici deux politiques de point de terminaison VPC que vous pouvez utiliser. Utilisez la première politique si vous souhaitez uniquement autoriser l'accès aux fonctionnalités de base de Canvas, telles que l'importation de données et la création de modèles. Utilisez la deuxième politique si vous souhaitez accorder l'accès aux fonctionnalités supplémentaires de l'IA générative dans Canvas.
La politique suivante accorde l'accès nécessaire à votre point de terminaison VPC pour les opérations de base dans Canvas.
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
Étape 3 : accorder des autorisations IAM
L'utilisateur de SageMaker Canvas doit disposer des AWS Identity and Access Management autorisations nécessaires pour autoriser la connexion aux points de terminaison du VPC. Le rôle IAM auquel vous accordez des autorisations doit être le même que celui que vous avez utilisé lors de l'intégration au domaine Amazon SageMaker AI. Vous pouvez associer la AmazonSageMakerFullAccess
politique gérée par l' SageMaker IA au rôle IAM pour que l'utilisateur lui accorde les autorisations requises. Si vous avez besoin d'autorisations IAM plus restrictives et que vous utilisez plutôt des politiques personnalisées, accordez l'ec2:DescribeVpcEndpointServices
autorisation au rôle de l'utilisateur. SageMaker Canvas a besoin de ces autorisations pour vérifier l'existence des points de terminaison VPC requis pour les tâches de génération standard. S'il détecte ces points de terminaison de VPC, les tâches de construction standard s'exécutent par défaut dans votre VPC. Dans le cas contraire, ils s'exécuteront dans le VPC AWS géré par défaut.
Pour obtenir des instructions sur la façon d'attacher la politique IAM AmazonSageMakerFullAccess
pour le rôle IAM de votre utilisateur, consultez Ajout et suppression d'autorisations basées sur l'identité IAM.
Pour attribuer au rôle IAM de votre utilisateur une autorisation ec2:DescribeVpcEndpointServices
, procédez comme suit :
Connectez-vous à la console IAM AWS Management Console
et ouvrez-la. Dans le panneau de navigation, choisissez Roles (Rôles).
Dans la liste de groupes, choisissez le nom du groupe ou de l'utilisateur auquel vous souhaitez ajouter des autorisations d'accès.
Sélectionnez l’onglet Autorisations.
Sélectionnez Ajouter des autorisations, puis Ajouter la politique.
-
Cliquez sur l'onglet JASON et saisissez la politique suivante, qui accorde à l'autorisation
ec2:DescribeVpcEndpointServices
:{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:DescribeVpcEndpointServices", "Resource": "*" } ] }
Choisissez Révisez la politique, puis entrez un Nom pour la politique (par exemple,
VPCEndpointPermissions
).Choisissez Create Policy (Créer une politique).
Le rôle IAM de l'utilisateur doit désormais disposer des autorisations nécessaires pour accéder aux points de terminaison d'un VPC configurés dans votre VPC.
(Facultatif) Étape 4 : remplacement des paramètres de groupe de sécurité pour des utilisateurs spécifiques
Si vous êtes administrateur, vous pouvez souhaiter que différents utilisateurs disposent de paramètres VPC différents ou spécifiques à l'utilisateur. Lorsque vous remplacez les paramètres du groupe de sécurité par défaut du VPC pour un utilisateur spécifique, ces paramètres sont transmis à l'application SageMaker Canvas pour cet utilisateur.
Vous pouvez remplacer les groupes de sécurité auxquels un utilisateur spécifique a accès dans votre VPC lorsque vous configurez un nouveau profil utilisateur dans Studio Classic. Vous pouvez utiliser l'appel d'CreateUserProfile SageMaker API (ou create_user_profileUserSettings
, vous pouvez spécifier le pour l'SecurityGroups
utilisateur.