Configurer Amazon SageMaker Canvas VPC sans accès à Internet - Amazon SageMaker

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer Amazon SageMaker Canvas VPC sans accès à Internet

L'application Amazon SageMaker Canvas s'exécute dans un conteneur dans un Amazon Virtual Private Cloud (VPC) AWS géré. Si vous souhaitez contrôler davantage l'accès à vos ressources ou exécuter SageMaker Canvas sans accès public à Internet, vous pouvez configurer votre SageMaker domaine et vos VPC paramètres Amazon. Vous pouvez configurer vous-même VPC des paramètres tels que les groupes de sécurité (pare-feux virtuels qui contrôlent le trafic entrant et sortant des EC2 instances Amazon) et les sous-réseaux (plages d'adresses IP dans vos instances). VPC Pour en savoir plusVPCs, consultez Comment VPC fonctionne Amazon.

Lorsque l'application SageMaker Canvas est exécutée dans un service AWS géréVPC, elle peut interagir avec d'autres AWS services à l'aide d'une connexion Internet ou via des VPC points de terminaison créés dans un service géré par le client VPC (sans accès public à Internet). SageMaker Les applications Canvas peuvent accéder à ces VPC points de terminaison via une interface réseau créée par Studio Classic qui fournit une connectivité aux terminaux gérés par le client. VPC Le comportement par défaut de l'application SageMaker Canvas est d'avoir accès à Internet. Lorsque vous utilisez une connexion Internet, les conteneurs des tâches précédentes accèdent aux ressources AWS via Internet, telles que les compartiments Amazon S3 où vous stockez les données d'entraînement et les artefacts de modèle.

Toutefois, si vous avez des exigences de sécurité pour contrôler l'accès à vos données et à vos conteneurs de tâches, nous vous recommandons de configurer SageMaker Canvas et votre conteneur de VPC manière à ce que vos données et conteneurs ne soient pas accessibles sur Internet. SageMaker utilise les paramètres VPC de configuration que vous spécifiez lors de la configuration de votre domaine pour SageMaker Canvas.

Si vous souhaitez configurer votre application SageMaker Canvas sans accès à Internet, vous devez configurer vos VPC paramètres lors de l'intégration au SageMaker domaine Amazon, de la configuration des VPC points de terminaison et de l'octroi AWS Identity and Access Management des autorisations nécessaires. Pour plus d'informations sur la configuration d'un VPC dans Amazon SageMaker, consultezChoisissez un Amazon VPC. Les sections suivantes décrivent comment exécuter SageMaker Canvas VPC sans accès public à Internet.

Configurer Amazon SageMaker Canvas VPC sans accès à Internet

Vous pouvez envoyer du trafic de SageMaker Canvas vers d'autres AWS services par le biais de votre propre serviceVPC. Si le vôtre VPC n'a pas d'accès public à Internet et que vous avez configuré votre domaine en mode VPCuniquement, SageMaker Canvas n'aura pas non plus d'accès public à Internet. Cela inclut toutes les demandes, telles que l'accès à des ensembles de données dans Amazon S3 ou les tâches de formation pour les versions standard, et les demandes passent par des VPC points de terminaison sur votre réseau VPC plutôt que sur l'Internet public. Lorsque vous vous connectez au domaine etChoisissez un Amazon VPC, vous pouvez spécifier le vôtre VPC comme domaine par défautVPC, ainsi que les paramètres de groupe de sécurité et de sous-réseau souhaités. Ensuite, SageMaker crée une interface réseau dans votre VPC que SageMaker Canvas utilise pour accéder aux VPC points de terminaison de votreVPC.

Assurez-vous de configurer un ou plusieurs groupes de sécurité VPC avec des règles entrantes et sortantes qui autorisent le TCPtrafic au sein du groupe de sécurité. Cela est nécessaire pour la connectivité entre l'application Jupyter Server et les applications Kernel Gateway. Vous devez autoriser l'accès à au moins des ports situés dans la plage 8192-65535. Assurez-vous également de créer un groupe de sécurité distinct pour chaque profil utilisateur et d'ajouter un accès entrant à partir de ce même groupe de sécurité. Nous déconseillons de réutiliser un groupe de sécurité au niveau du domaine pour les profils utilisateur. Si le groupe de sécurité au niveau du domaine autorise l'accès entrant à lui-même, toutes les applications du domaine ont accès à toutes les autres applications du domaine. Notez que les paramètres du groupe de sécurité et du sous-réseau sont définis une fois l'intégration au domaine terminée.

Lors de l'intégration au domaine, si vous choisissez Internet public uniquement comme type d'accès au réseau, celui-ci VPC est SageMaker géré et autorise l'accès à Internet.

Vous pouvez modifier ce comportement en choisissant VPCuniquement de telle sorte que tout le trafic soit SageMaker envoyé à une interface réseau SageMaker créée dans votre configuration spécifiéeVPC. Lorsque vous choisissez cette option, vous devez fournir les sous-réseaux, les groupes de sécurité et les VPC points de terminaison nécessaires pour communiquer avec le SageMaker Runtime SageMaker API et les différents AWS services, tels qu'Amazon S3 et Amazon CloudWatch, utilisés par SageMaker Canvas. Notez que vous ne pouvez importer des données qu'à partir de compartiments Amazon S3 situés dans la même région que votreVPC.

Les procédures suivantes montrent comment configurer ces paramètres pour utiliser SageMaker Canvas sans Internet.

Étape 1 : Intégration au SageMaker domaine Amazon

Pour envoyer le trafic SageMaker Canvas vers votre propre interface réseau VPC plutôt que via Internet, spécifiez celle que VPC vous souhaitez utiliser lors de l'intégration au SageMaker domaine Amazon. Vous devez également spécifier au moins deux sous-réseaux VPC que vous SageMaker pouvez utiliser. Choisissez Configuration standard et suivez la procédure suivante lors de la configuration de la section Réseau et stockage pour le domaine.

  1. Sélectionnez ce que vous souhaitez VPC.

  2. Choisissez deux Subnets (Sous-réseaux) ou plus. Si vous ne spécifiez pas les sous-réseaux, SageMaker utilise tous les sous-réseaux du. VPC

  3. Choisissez un ou plusieurs groupes de sécurité.

  4. Choisissez VPCUniquement pour désactiver l'accès direct à Internet dans le site AWS géré VPC où SageMaker Canvas est hébergé.

Après avoir désactivé l'accès à Internet, terminez le processus d'intégration pour configurer votre domaine. Pour plus d'informations sur les VPC paramètres du SageMaker domaine Amazon, consultezChoisissez un Amazon VPC.

Étape 2 : Configuration des VPC points de terminaison et de l'accès

Note

Pour configurer vous-même CanvasVPC, vous devez activer les DNS noms d'hôte privés pour vos points de VPC terminaison. Pour plus d'informations, voir Se connecter SageMaker via un point de terminaison d'VPCinterface.

SageMaker Canvas accède uniquement aux autres AWS services pour gérer et stocker les données nécessaires à ses fonctionnalités. Par exemple, il se connecte à Amazon Redshift si vos utilisateurs accèdent à une base de données Amazon Redshift. Il peut se connecter à un AWS service tel qu'Amazon Redshift à l'aide d'une connexion Internet ou d'un point de terminaison. VPC Utilisez des VPC points de terminaison si vous souhaitez configurer des connexions entre vous et VPC des AWS services qui n'utilisent pas l'Internet public.

Un VPC point de terminaison crée une connexion privée à un AWS service qui utilise un chemin réseau isolé de l'Internet public. Par exemple, si vous configurez l'accès à Amazon S3 en utilisant votre propre VPC point de terminaisonVPC, l'application SageMaker Canvas peut accéder à Amazon S3 en passant par l'interface réseau de votre appareil, VPC puis via le VPC point de terminaison qui se connecte à Amazon S3. La communication entre SageMaker Canvas et Amazon S3 est privée.

Pour plus d'informations sur la configuration des VPC points de terminaison pour votreVPC, consultez AWS PrivateLink. Si vous utilisez des modèles Amazon Bedrock dans Canvas avec unVPC, pour plus d'informations sur le contrôle de l'accès à vos données, consultez Protéger les emplois à l'aide d'un VPC dans le guide de l'utilisateur d'Amazon Bedrock.

Voici les VPC points de terminaison pour chaque service que vous pouvez utiliser avec SageMaker Canvas :

Service Point de terminaison Type de point de terminaison

AWS Application Auto Scaling

com.amazonaws.Region.mise à l'échelle automatique de l'application

utilisateur

Amazon Athena

com.amazonaws.Regionathena.

utilisateur

Amazon SageMaker

com.amazonaws.Region.sagemaker.api

com.amazonaws.Region.sagemaker.runtime

com.amazonaws.Region.carnet

utilisateur

AWS Security Token Service

com.amazonaws.Region.sts

utilisateur

Amazon Elastic Container Registry (AmazonECR)

com.amazonaws.Region.ecr.api

com.amazonaws.Region.ecr .dkr

utilisateur

Amazon Elastic Compute Cloud (AmazonEC2)

com.amazonaws.Regionec2.

utilisateur

Amazon Simple Storage Service (Amazon S3)

com.amazonaws.Regions3.

Passerelle

Amazon Redshift

com.amazonaws.Region.redshift-data

utilisateur

AWS Secrets Manager

com.amazonaws.Regionsecretsmanager.

utilisateur

AWS Systems Manager

com.amazonaws.Regionssm.

utilisateur

Amazon CloudWatch

com.amazonaws.Region.surveillance

utilisateur

Amazon CloudWatch Logs

com.amazonaws.Region.journaux

utilisateur

Amazon Forecast

com.amazonaws.Region.prévision

com.amazonaws.RegionRequête .forecast

utilisateur

Amazon Textract

com.amazonaws.Regionextrait .t

utilisateur

Amazon Comprehend

com.amazonaws.Region.comprendre

utilisateur

Amazon Rekognition

com.amazonaws.Region.reconnaissance

utilisateur

AWS Glue

com.amazonaws.Region.colle

utilisateur

AWS Application Auto Scaling

com.amazonaws.Region.mise à l'échelle automatique de l'application

utilisateur

Amazon Relational Database Service (AmazonRDS)

com.amazonaws.Regionrds.

utilisateur

Amazon Bedrock

com.amazonaws.Region.bedrock-runtime

utilisateur

Amazon Kendra

com.amazonaws.Region.kendra

utilisateur

Amazon EMR sans serveur

com.amazonaws.Region.emr-serverless

utilisateur

Note

Pour Amazon Bedrock, le nom du service de point de terminaison d'interface com.amazonaws.Region.bedrock est obsolète. Créez un nouveau VPC point de terminaison avec le nom du service indiqué dans le tableau précédent.

De plus, vous ne pouvez pas affiner les modèles de base à partir de Canvas VPCs sans accès à Internet. Cela est dû au fait qu'Amazon Bedrock ne prend pas en charge les VPC points de terminaison pour la personnalisation des modèles. APIs Pour en savoir plus sur le réglage précis des modèles de base dans Canvas, voirAjustez les modèles de base.

Vous devez également ajouter une politique de point de terminaison pour Amazon S3 afin de contrôler l'accès AWS principal à votre VPC point de terminaison. Pour plus d'informations sur la façon de mettre à jour votre politique de point de VPC terminaison, voir Contrôler l'accès aux VPC points de terminaison à l'aide de politiques de point de terminaison.

Voici deux politiques de point de VPC terminaison que vous pouvez utiliser. Utilisez la première politique si vous souhaitez uniquement autoriser l'accès aux fonctionnalités de base de Canvas, telles que l'importation de données et la création de modèles. Utilisez la deuxième politique si vous souhaitez accorder l'accès aux fonctionnalités supplémentaires de l'IA générative dans Canvas.

Basic VPC endpoint policy

La politique suivante accorde l'accès nécessaire à votre VPC point de terminaison pour les opérations de base dans Canvas.

{ "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }
Generative AI VPC endpoint policy

La politique suivante accorde l'accès nécessaire à votre VPC point de terminaison pour les opérations de base dans Canvas, ainsi que pour l'utilisation de modèles de base d'IA génératifs.

{ "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*fmeval/datasets*", "arn:aws:s3:::*jumpstart-cache-prod*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }

Étape 3 : Accorder IAM des autorisations

L'utilisateur de SageMaker Canvas doit disposer des AWS Identity and Access Management autorisations nécessaires pour autoriser la connexion aux VPC points de terminaison. Le IAM rôle auquel vous accordez des autorisations doit être le même que celui que vous avez utilisé lors de l'intégration au SageMaker domaine Amazon. Vous pouvez associer la AmazonSageMakerFullAccess politique SageMaker gérée au IAM rôle de l'utilisateur afin de lui accorder les autorisations requises. Si vous avez besoin d'IAMautorisations plus restrictives et que vous utilisez plutôt des politiques personnalisées, accordez l'ec2:DescribeVpcEndpointServicesautorisation au rôle de l'utilisateur. SageMaker Canvas a besoin de ces autorisations pour vérifier l'existence des VPC points de terminaison requis pour les tâches de génération standard. S'il détecte ces VPC points de terminaison, les tâches de génération standard s'exécutent par défaut dans votreVPC. Dans le cas contraire, ils s'exécuteront dans le gestionnaire AWS par défautVPC.

Pour savoir comment associer la AmazonSageMakerFullAccess IAM politique au IAM rôle de votre utilisateur, consultez la section Ajouter et supprimer des autorisations IAM d'identité.

Pour accorder à votre IAM rôle d'utilisateur l'ec2:DescribeVpcEndpointServicesautorisation granulaire, procédez comme suit.

  1. Connectez-vous à la IAMconsole AWS Management Console et ouvrez-la.

  2. Dans le panneau de navigation, choisissez Roles (Rôles).

  3. Dans la liste de groupes, choisissez le nom du groupe ou de l'utilisateur auquel vous souhaitez ajouter des autorisations d'accès.

  4. Choisissez l’onglet Permissions (Autorisations).

  5. Sélectionnez Ajouter des autorisations, puis Ajouter la politique.

  6. Choisissez l'JSONonglet et entrez la politique suivante, qui accorde l'ec2:DescribeVpcEndpointServicesautorisation :

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:DescribeVpcEndpointServices", "Resource": "*" } ] }
  7. Choisissez Révisez la politique, puis entrez un Nom pour la politique (par exemple, VPCEndpointPermissions).

  8. Choisissez Create Policy (Créer une politique).

Le IAM rôle de l'utilisateur doit désormais être autorisé à accéder aux VPC points de terminaison configurés dans votreVPC.

(Facultatif) Étape 4 : remplacement des paramètres de groupe de sécurité pour des utilisateurs spécifiques

Si vous êtes administrateur, vous souhaiterez peut-être que les différents utilisateurs aient des VPC paramètres différents ou des VPC paramètres spécifiques à l'utilisateur. Lorsque vous remplacez les paramètres du groupe VPC de sécurité par défaut pour un utilisateur spécifique, ces paramètres sont transmis à l'application SageMaker Canvas pour cet utilisateur.

Vous pouvez remplacer les groupes de sécurité auxquels un utilisateur spécifique a accès dans votre entreprise VPC lorsque vous configurez un nouveau profil utilisateur dans Studio Classic. Vous pouvez utiliser l'CreateUserProfile SageMaker APIappel (ou create_user_profile avec le AWS CLI), puis dans leUserSettings, vous pouvez spécifier le pour l'SecurityGroupsutilisateur.