Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Configuration d'Amazon SageMaker Canvas dans un VPC sans accès à Internet

Mode de mise au point
Configuration d'Amazon SageMaker Canvas dans un VPC sans accès à Internet - Amazon SageMaker AI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

L'application Amazon SageMaker Canvas s'exécute dans un conteneur au sein d'un Amazon Virtual Private Cloud (VPC) AWS géré. Si vous souhaitez contrôler davantage l'accès à vos ressources ou exécuter SageMaker Canvas sans accès public à Internet, vous pouvez configurer votre domaine Amazon SageMaker AI et les paramètres VPC. Au sein de votre propre VPC, vous pouvez configurer des paramètres tels que les groupes de sécurité (pare-feux virtuels qui contrôlent le trafic entrant et sortant des instances EC2 Amazon) et les sous-réseaux (plages d'adresses IP dans votre VPC). Pour en savoir plus VPCs, consultez Comment fonctionne Amazon VPC.

Lorsque l'application SageMaker Canvas est exécutée dans le VPC AWS géré, elle peut interagir avec d'autres AWS services via une connexion Internet ou via des points de terminaison VPC créés dans un VPC géré par le client (sans accès public à Internet). SageMaker Les applications Canvas peuvent accéder à ces points de terminaison VPC via une interface réseau créée par Studio Classic qui fournit une connectivité au VPC géré par le client. Le comportement par défaut de l'application SageMaker Canvas est d'avoir accès à Internet. Lorsque vous utilisez une connexion Internet, les conteneurs des tâches précédentes accèdent aux ressources AWS via Internet, telles que les compartiments Amazon S3 où vous stockez les données d'entraînement et les artefacts de modèle.

Toutefois, si vous avez des exigences de sécurité pour contrôler l'accès à vos conteneurs de données et de tâches, nous vous recommandons de configurer SageMaker Canvas et votre VPC de manière à ce que vos données et conteneurs ne soient pas accessibles sur Internet. SageMaker AI utilise les paramètres de configuration VPC que vous spécifiez lors de la configuration de votre domaine pour SageMaker Canvas.

Si vous souhaitez configurer votre application SageMaker Canvas sans accès à Internet, vous devez configurer vos paramètres VPC lorsque vous intégrez le domaine Amazon SageMaker AI, configurez les points de terminaison VPC et accordez les autorisations nécessaires. AWS Identity and Access Management Pour plus d'informations sur la configuration d'un VPC dans Amazon SageMaker AI, consultez. Choix d'un réseau Amazon VPC Les sections suivantes décrivent comment exécuter SageMaker Canvas dans un VPC sans accès public à Internet.

Configuration d'Amazon SageMaker Canvas dans un VPC sans accès à Internet

Vous pouvez envoyer du trafic de SageMaker Canvas vers d'autres AWS services via votre propre VPC. Si votre propre VPC n'a pas d'accès public à Internet et que vous avez configuré votre domaine en mode VPC uniquement, SageMaker Canvas n'aura pas non plus d'accès public à Internet. Cela inclut toutes les demandes, telles que l'accès aux jeux de données dans Amazon S3 ou les tâches d'entraînement pour les versions standard, et les demandes passent par les points de terminaison d'un VPC dans votre VPC au lieu de l'Internet public. Lorsque vous vous connectez au domaine etChoix d'un réseau Amazon VPC, vous pouvez spécifier votre propre VPC comme VPC par défaut pour le domaine, ainsi que les paramètres de groupe de sécurité et de sous-réseau souhaités. SageMaker L'IA crée ensuite une interface réseau dans votre VPC que SageMaker Canvas utilise pour accéder aux points de terminaison VPC de votre VPC.

Assurez-vous de configurer un ou plusieurs groupes de sécurité dans votre VPC avec des règles entrantes et sortantes qui autorisent le trafic TCP au sein du groupe de sécurité. Cela est nécessaire pour la connectivité entre l'application Jupyter Server et les applications Kernel Gateway. Vous devez autoriser l'accès à au moins des ports situés dans la plage 8192-65535. Veillez également à créer un groupe de sécurité distinct pour chaque profil utilisateur et à ajouter un accès entrant à partir de ce même groupe de sécurité. Nous déconseillons de réutiliser un groupe de sécurité au niveau du domaine pour les profils utilisateur. Si le groupe de sécurité au niveau du domaine autorise l'accès entrant à lui-même, toutes les applications du domaine ont accès à toutes les autres applications du domaine. Notez que les paramètres du groupe de sécurité et du sous-réseau sont définis une fois l'intégration au domaine terminée.

Lors de l'intégration au domaine, si vous choisissez Internet public uniquement comme type d'accès au réseau, le VPC SageMaker est géré par l'IA et permet l'accès à Internet.

Vous pouvez modifier ce comportement en choisissant VPC uniquement afin que l' SageMaker IA envoie tout le trafic vers une interface réseau créée par l' SageMaker IA dans le VPC que vous avez spécifié. Lorsque vous choisissez cette option, vous devez fournir les sous-réseaux, les groupes de sécurité et les points de terminaison VPC nécessaires pour communiquer avec SageMaker l'API SageMaker et AI Runtime, ainsi que les AWS différents services, tels qu'Amazon S3 et CloudWatch Amazon, utilisés par Canvas. SageMaker Notez que vous ne pouvez importer des données qu'à partir de compartiments Amazon S3 situés dans la même région que votre VPC.

Les procédures suivantes montrent comment configurer ces paramètres pour utiliser SageMaker Canvas sans Internet.

Étape 1 : Intégration au domaine Amazon SageMaker AI

Pour envoyer le trafic SageMaker Canvas vers une interface réseau dans votre propre VPC plutôt que via Internet, spécifiez le VPC que vous souhaitez utiliser lors de l'intégration au domaine Amazon AI. SageMaker Vous devez également spécifier au moins deux sous-réseaux dans votre VPC SageMaker que l'IA peut utiliser. Choisissez Configuration standard et suivez la procédure suivante lors de la configuration de la section Réseau et stockage pour le domaine.

  1. Sélectionnez votreVPC préféré.

  2. Choisissez deux Subnets (Sous-réseaux) ou plus. Si vous ne spécifiez pas les sous-réseaux, SageMaker AI utilise tous les sous-réseaux du VPC.

  3. Choisissez un ou plusieurs groupes de sécurité.

  4. Choisissez VPC Only pour désactiver l'accès direct à Internet dans le AWS VPC géré où SageMaker Canvas est hébergé.

Après avoir désactivé l'accès à Internet, terminez le processus d'intégration pour configurer votre domaine. Pour plus d'informations sur les paramètres VPC pour le domaine Amazon SageMaker AI, consultez. Choix d'un réseau Amazon VPC

Étape 2 : configurer les points de terminaison de VPC et l'accès

Note

Pour configurer Canvas dans votre propre VPC, vous devez activer les noms d'hôtes DNS privés pour vos points de terminaison de VPC. Pour plus d'informations, consultez Se connecter à l' SageMaker IA via un point de terminaison d'interface VPC.

SageMaker Canvas accède uniquement aux autres AWS services pour gérer et stocker les données nécessaires à ses fonctionnalités. Par exemple, il se connecte à Amazon Redshift si vos utilisateurs accèdent à une base de données Amazon Redshift. Il peut se connecter à un AWS service tel qu'Amazon Redshift à l'aide d'une connexion Internet ou d'un point de terminaison VPC. Utilisez des points de terminaison VPC si vous souhaitez configurer des connexions entre votre VPC et des AWS services qui n'utilisent pas l'Internet public.

Un point de terminaison VPC crée une connexion privée à un AWS service qui utilise un chemin réseau isolé de l'Internet public. Par exemple, si vous configurez l'accès à Amazon S3 à l'aide d'un point de terminaison VPC à partir de votre propre VPC, l'application SageMaker Canvas peut accéder à Amazon S3 en passant par l'interface réseau de votre VPC, puis via le point de terminaison VPC qui se connecte à Amazon S3. La communication entre SageMaker Canvas et Amazon S3 est privée.

Pour plus d'informations sur la configuration des points de terminaison d'un VPC, consultez AWS PrivateLink. Si vous utilisez des modèles Amazon Bedrock dans Canvas avec un VPC, vous pouvez obtenir des informations sur le contrôle de l'accès à vos données en consultant Protection des tâches à l'aide d'un VPC dans le Guide de l'utilisateur Amazon Bedrock (langue française non garantie).

Voici les points de terminaison VPC pour chaque service que vous pouvez utiliser avec Canvas : SageMaker

Service Point de terminaison Type de point de terminaison

AWS Application Auto Scaling

com.amazonaws. Region.mise à l'échelle automatique de l'application

utilisateur

Amazon Athena

com.amazonaws. Region.athéna

utilisateur

Amazon SageMaker AI

com.amazonaws. Region.sagemaker.api

com.amazonaws. Region.sagemaker.runtime

com.amazonaws. Region.carnet

utilisateur

Assistant de science des données Amazon SageMaker AI

com.amazonaws. Region. sagemaker-data-science-assistant

utilisateur

AWS Security Token Service

com.amazonaws. Region.sts

utilisateur

Amazon Elastic Container Registry (Amazon ECR)

com.amazonaws. Region.ecr.api

com.amazonaws. Region.ecr .dkr

utilisateur

Amazon Elastic Compute Cloud (Amazon EC2)

com.amazonaws. Region.ec2

utilisateur

Amazon Simple Storage Service (Amazon S3)

com.amazonaws. Region.s3

Passerelle

Amazon Redshift

com.amazonaws. Region.redshift-data

utilisateur

AWS Secrets Manager

com.amazonaws. Region.secretsmanager

utilisateur

AWS Systems Manager

com.amazonaws. Region.ssm

utilisateur

Amazon CloudWatch

com.amazonaws. Region.surveillance

utilisateur

Amazon CloudWatch Logs

com.amazonaws. Region.journaux

utilisateur

Amazon Forecast

com.amazonaws. Region.prévision

com.amazonaws. RegionRequête .forecast

utilisateur

Amazon Textract

com.amazonaws. Regionextrait .t

utilisateur

Amazon Comprehend

com.amazonaws. Region.comprendre

utilisateur

Amazon Rekognition

com.amazonaws. Region.reconnaissance

utilisateur

AWS Glue

com.amazonaws. Region.colle

utilisateur

AWS Application Auto Scaling

com.amazonaws. Region.mise à l'échelle automatique de l'application

utilisateur

Amazon Relational Database Service (Amazon RDS)

com.amazonaws. Region.rds

utilisateur

Amazon Bedrock (voir note après le tableau)

com.amazonaws. Region.bedrock-runtime

utilisateur

Amazon Kendra

com.amazonaws. Region.kendra

utilisateur

Amazon EMR sans serveur

com.amazonaws. Region.emr-serverless

utilisateur

Amazon Q Developer (voir note après le tableau)

com.amazonaws. Region.q

utilisateur

Note

Le point de terminaison VPC Amazon Q Developer n'est actuellement disponible que dans la région de l'est des États-Unis (Virginie du Nord). Pour vous y connecter depuis d'autres régions, vous pouvez choisir l'une des options suivantes en fonction de vos préférences en matière de sécurité et d'infrastructure :

Note

Pour Amazon Bedrock, le nom du service de point de terminaison d'interface com.amazonaws.Region.bedrock est obsolète. Créez un point de terminaison de VPC avec le nom de service indiqué dans le tableau précédent.

De plus, vous ne pouvez pas affiner les modèles de base à partir de Canvas VPCs sans accès à Internet. Cela est dû au fait qu'Amazon Bedrock ne prend pas en charge les points de terminaison VPC pour la personnalisation des modèles. APIs Pour en savoir plus sur le réglage précis des modèles de base dans Canvas, voirAjustez les modèles de base.

Vous devez également ajouter une politique de point de terminaison pour Amazon S3 afin de contrôler l'accès AWS principal à votre point de terminaison VPC. Pour obtenir des informations sur la mise à jour de votre politique de points de terminaison de VPC, consultez Contrôle de l'accès aux points de terminaison de VPC à l'aide de politiques de points de terminaison.

Voici deux politiques de point de terminaison VPC que vous pouvez utiliser. Utilisez la première politique si vous souhaitez uniquement autoriser l'accès aux fonctionnalités de base de Canvas, telles que l'importation de données et la création de modèles. Utilisez la deuxième politique si vous souhaitez accorder l'accès aux fonctionnalités supplémentaires de l'IA générative dans Canvas.

Basic VPC endpoint policy

La politique suivante accorde l'accès nécessaire à votre point de terminaison VPC pour les opérations de base dans Canvas.

{ "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }
Generative AI VPC endpoint policy

La politique suivante accorde l'accès nécessaire à votre point de terminaison VPC pour les opérations de base dans Canvas, ainsi que pour l'utilisation de modèles de base d'IA génératifs.

{ "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*fmeval/datasets*", "arn:aws:s3:::*jumpstart-cache-prod*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }

La politique suivante accorde l'accès nécessaire à votre point de terminaison VPC pour les opérations de base dans Canvas.

{ "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }

Étape 3 : accorder des autorisations IAM

L'utilisateur de SageMaker Canvas doit disposer des AWS Identity and Access Management autorisations nécessaires pour autoriser la connexion aux points de terminaison du VPC. Le rôle IAM auquel vous accordez des autorisations doit être le même que celui que vous avez utilisé lors de l'intégration au domaine Amazon SageMaker AI. Vous pouvez associer la AmazonSageMakerFullAccess politique gérée par l' SageMaker IA au rôle IAM pour que l'utilisateur lui accorde les autorisations requises. Si vous avez besoin d'autorisations IAM plus restrictives et que vous utilisez plutôt des politiques personnalisées, accordez l'ec2:DescribeVpcEndpointServicesautorisation au rôle de l'utilisateur. SageMaker Canvas a besoin de ces autorisations pour vérifier l'existence des points de terminaison VPC requis pour les tâches de génération standard. S'il détecte ces points de terminaison de VPC, les tâches de construction standard s'exécutent par défaut dans votre VPC. Dans le cas contraire, ils s'exécuteront dans le VPC AWS géré par défaut.

Pour obtenir des instructions sur la façon d'attacher la politique IAM AmazonSageMakerFullAccess pour le rôle IAM de votre utilisateur, consultez Ajout et suppression d'autorisations basées sur l'identité IAM.

Pour attribuer au rôle IAM de votre utilisateur une autorisation ec2:DescribeVpcEndpointServices, procédez comme suit :

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la.

  2. Dans le panneau de navigation, choisissez Roles (Rôles).

  3. Dans la liste de groupes, choisissez le nom du groupe ou de l'utilisateur auquel vous souhaitez ajouter des autorisations d'accès.

  4. Sélectionnez l’onglet Autorisations.

  5. Sélectionnez Ajouter des autorisations, puis Ajouter la politique.

  6. Cliquez sur l'onglet JASON et saisissez la politique suivante, qui accorde à l'autorisation ec2:DescribeVpcEndpointServices :

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:DescribeVpcEndpointServices", "Resource": "*" } ] }
  7. Choisissez Révisez la politique, puis entrez un Nom pour la politique (par exemple, VPCEndpointPermissions).

  8. Choisissez Create Policy (Créer une politique).

Le rôle IAM de l'utilisateur doit désormais disposer des autorisations nécessaires pour accéder aux points de terminaison d'un VPC configurés dans votre VPC.

(Facultatif) Étape 4 : remplacement des paramètres de groupe de sécurité pour des utilisateurs spécifiques

Si vous êtes administrateur, vous pouvez souhaiter que différents utilisateurs disposent de paramètres VPC différents ou spécifiques à l'utilisateur. Lorsque vous remplacez les paramètres du groupe de sécurité par défaut du VPC pour un utilisateur spécifique, ces paramètres sont transmis à l'application SageMaker Canvas pour cet utilisateur.

Vous pouvez remplacer les groupes de sécurité auxquels un utilisateur spécifique a accès dans votre VPC lorsque vous configurez un nouveau profil utilisateur dans Studio Classic. Vous pouvez utiliser l'appel d'CreateUserProfile SageMaker API (ou create_user_profile avec le AWS CLI), puis dans leUserSettings, vous pouvez spécifier le pour l'SecurityGroupsutilisateur.

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.