Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Connectez-vous à une instance de bloc-notes via un point de terminaison d'VPCinterface
Vous pouvez vous connecter à votre instance de bloc-notes depuis votre VPC point de terminaison d'interface dans votre cloud privé virtuel (VPC) au lieu de vous connecter via Internet public. Lorsque vous utilisez un point de terminaison d'VPCinterface, la communication entre votre instance VPC et l'instance du bloc-notes s'effectue entièrement et en toute sécurité au sein du AWS réseau.
SageMaker les instances de bloc-notes prennent en charge les points de terminaison de l'interface Amazon Virtual Private Cloud (AmazonVPC) alimentés par AWS PrivateLink. Chaque VPC point de terminaison est représenté par une ou plusieurs interfaces réseau élastiques avec des adresses IP privées dans vos VPC sous-réseaux.
Note
Avant de créer un point de VPC terminaison d'interface pour vous connecter à une instance de bloc-notes, créez un point de VPC terminaison d'interface pour vous connecter au SageMaker API. Ainsi, lorsque les utilisateurs appellent CreatePresignedNotebookInstanceUrlpour qu'il se connecte URL à l'instance du bloc-notes, cet appel passe également par le point de VPC terminaison de l'interface. Pour plus d’informations, veuillez consulter Connectez-vous à SageMaker Within your VPC.
Vous pouvez créer un point de terminaison d'interface pour vous connecter à votre instance de bloc-notes à l'aide des commandes AWS Management Console ou AWS Command Line Interface (AWS CLI). Pour obtenir des instructions, consultez Création d'un point de terminaison d'interface. Assurez-vous de créer un point de terminaison d'interface pour tous les sous-réseaux de votre ordinateur portable à VPC partir desquels vous souhaitez vous connecter à l'instance du bloc-notes.
Lorsque vous créez le point de terminaison de l'interface, spécifiez aws.sagemaker.Region.notebook comme nom de service. Après avoir créé un VPC point de terminaison, activez le mode privé DNS pour votre VPC point de terminaison. Toute personne utilisant la console SageMaker API AWS CLI, la ou la console pour se connecter à l'instance de bloc-notes depuis celle-ci se VPC connecte à l'instance de bloc-notes via le VPC point de terminaison plutôt que via Internet public.
SageMaker les instances de bloc-notes prennent en charge les VPC points de terminaison partout Régions AWS où Amazon VPC et Amazon SageMakersont disponibles.
Rubriques
Connectez votre réseau privé à votre VPC
Pour vous connecter à votre instance de bloc-notes via votreVPC, vous devez soit vous connecter à partir d'une instance située dans leVPC, soit connecter votre réseau privé à votre en VPC utilisant un AWS Virtual Private Network (AWS VPN) ou AWS Direct Connect. Pour en savoir plus AWS VPN, consultez VPNConnections dans le guide de l'utilisateur d'Amazon Virtual Private Cloud. Pour plus d'informations AWS Direct Connect, voir Création d'une connexion dans le guide de l'utilisateur de AWS Direct Connect.
Création d'une politique de VPC point de terminaison pour les instances de SageMaker Notebook
Vous pouvez créer une politique pour les VPC points de terminaison Amazon pour les instances de SageMaker blocs-notes afin de spécifier les éléments suivants :
-
Le principal qui peut exécuter des actions.
-
Les actions qui peuvent être effectuées.
-
Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d'informations, consultez la section Contrôle de l'accès aux services avec des VPC points de terminaison dans le guide de VPC l'utilisateur Amazon.
L'exemple suivant de politique de point de VPC terminaison indique que tous les utilisateurs ayant accès au point de terminaison sont autorisés à accéder à l'instance de bloc-notes nomméemyNotebookInstance.
{ "Statement": [ { "Action": "sagemaker:CreatePresignedNotebookInstanceUrl", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance", "Principal": "*" } ] }
L'accès aux autres instances de bloc-notes est refusé.
Restreignez l'accès aux connexions depuis votre VPC
Même si vous configurez un point de terminaison d'interface dans votre ordinateurVPC, les personnes extérieures VPC peuvent se connecter à l'instance de bloc-notes via Internet.
Important
Si vous appliquez une IAM politique similaire à l'une des suivantes, les utilisateurs ne peuvent pas accéder à l'instance spécifiée SageMaker APIs ou à l'instance du bloc-notes via la console.
Pour restreindre l'accès aux seules connexions établies depuis votre intérieurVPC, créez une AWS Identity and Access Management politique qui limite l'accès aux seuls appels provenant de votre VPC intérieur. Ajoutez ensuite cette politique à chaque AWS Identity and Access Management utilisateur, groupe ou rôle utilisé pour accéder à l'instance du bloc-notes.
Note
Cette politique autorise les connexions uniquement pour les mandataires dans un sous-réseau où vous avez créé un point de terminaison d'interface.
{ "Id": "notebook-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable Notebook Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedNotebookInstanceUrl", "sagemaker:DescribeNotebookInstance" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-111bbaaa" } } } ] }
Si vous souhaitez restreindre l'accès à l'instance de bloc-notes aux seules connexions effectuées à l'aide du point de terminaison d'interface, utilisez la clé de condition aws:SourceVpce au lieu de aws:SourceVpc:
{ "Id": "notebook-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable Notebook Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedNotebookInstanceUrl", "sagemaker:DescribeNotebookInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": [ "vpce-111bbccc", "vpce-111bbddd" ] } } } ] }
Ces deux exemples de politique supposent que vous avez également créé un point de terminaison d'interface pour le SageMaker API. Pour de plus amples informations, veuillez consulter Connectez-vous à SageMaker Within your VPC. Dans le deuxième exemple, l'une des valeurs pour aws:SourceVpce est l'ID du point de terminaison d'interface pour l'instance de bloc-notes. L'autre est l'ID du point de terminaison de l'interface pour SageMaker API.
Les exemples de politiques présentés ici incluent :
DescribeNotebookInstance, car vous appelez généralement DescribeNotebookInstance pour vous assurer que NotebookInstanceStatus c'est le cas InService avant d'essayer de vous y connecter. Par exemple :
aws sagemaker describe-notebook-instance \ --notebook-instance-name myNotebookInstance { "NotebookInstanceArn": "arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance", "NotebookInstanceName": "myNotebookInstance", "NotebookInstanceStatus": "InService", "Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws", "InstanceType": "ml.m4.xlarge", "RoleArn": "arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456", "LastModifiedTime": 1540334777.501, "CreationTime": 1523050674.078, "DirectInternetAccess": "Disabled" } aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance { "AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=AuthToken}
Note
L'URL presigned-notebook-instance-url, AuthorizedUrl, générée peut être utilisée à partir d'un emplacement quelconque sur Internet.
Pour ces deux appels, si vous n'avez pas activé les DNS noms d'hôte privés pour votre VPC point de terminaison, ou si vous utilisez une version de AWS SDK celui-ci publiée avant le 13 août 2018, vous devez spécifier le point de terminaison URL dans l'appel. Par exemple, l'appel à create-presigned-notebook-instance-url est :
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-namemyNotebookInstance--endpoint-urlVPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
