Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Connexion à une instance de bloc-notes via un point de terminaison d'interface VPC.
Au lieu de vous connecter sur l'Internet public, vous pouvez vous connecter à votre instance de bloc-notes depuis votre VPC via un point de terminaison d'interface dans votre Virtual Private Cloud (VPC). Lorsque vous utilisez un point de terminaison d'interface VPC, la communication entre votre VPC et l'instance de bloc-notes est entièrement gérée en toute sécurité au sein du réseau AWS .
SageMaker les instances de bloc-notes prennent en charge les points de terminaison de l'interface Amazon Virtual Private Cloud (Amazon VPC) alimentés par. AWS PrivateLink Chaque point de terminaison d'un VPC est représenté par une ou plusieurs interfaces réseau Elastic avec des adresses IP privées dans vos sous-réseaux VPC.
Note
Avant de créer un point de terminaison VPC d'interface pour vous connecter à une instance de bloc-notes, créez un point de terminaison VPC d'interface pour vous connecter à l'API. SageMaker De cette manière, quand les utilisateurs appellent CreatePresignedNotebookInstanceUrl pour obtenir l'URL afin de se connecter à l'instance de bloc-notes, cet appel passe également par le point de terminaison de VPC d'interface. Pour plus d’informations, veuillez consulter Connectez-vous à SageMaker Within à votre VPC.
Vous pouvez créer un point de terminaison d'interface pour vous connecter à votre instance de bloc-notes à l'aide des commandes AWS Management Console or AWS Command Line Interface (AWS CLI). Pour obtenir des instructions, consultez Création d'un point de terminaison d'interface. Assurez-vous de créer un point de terminaison d'interface pour tous les sous-réseaux dans votre VPC à partir duquel vous souhaitez vous connecter à l'instance de bloc-notes.
Lorsque vous créez le point de terminaison d'interface, spécifiez aws.sagemaker.Region.notebook comme nom de service. Une fois que vous avez créé un point de terminaison de VPC, activez le DNS privé pour votre point de terminaison de VPC. Toute personne utilisant l' SageMaker API AWS CLI, le ou la console pour se connecter à l'instance de bloc-notes depuis le VPC se connecte à l'instance de bloc-notes via le point de terminaison du VPC plutôt que via Internet public.
SageMaker les instances de bloc-notes prennent en charge les points de terminaison VPC partout où Amazon VPC Régions AWS et Amazon sont disponibles. SageMaker
Rubriques
Connectez votre réseau privé à votre VPC
Pour vous connecter à votre instance de bloc-notes via votre VPC, vous devez soit vous connecter à partir d'une instance située à l'intérieur du VPC, soit connecter votre réseau privé à votre VPC à l'aide d'un () ou. AWS Virtual Private Network AWS VPN AWS Direct Connect Pour en savoir plus AWS VPN, consultez la section Connexions VPN dans le guide de l'utilisateur d'Amazon Virtual Private Cloud. Pour plus d'informations AWS Direct Connect, voir Création d'une connexion dans le guide de l'utilisateur de AWS Direct Connect.
Création d'une politique de point de terminaison VPC pour les instances de Notebook SageMaker
Vous pouvez créer une politique pour les points de terminaison Amazon VPC pour les instances de SageMaker blocs-notes afin de spécifier les éléments suivants :
-
Le principal qui peut exécuter des actions.
-
Les actions qui peuvent être effectuées.
-
Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d’informations, veuillez consulter Contrôle de l’accès aux services avec des points de terminaison d’un VPC dans le Amazon VPC Guide de l’utilisateur.
L'exemple suivant de politique de point de terminaison de VPC spécifie que tous les utilisateurs qui ont accès au point de terminaison sont autorisés à accéder à l'instance de bloc-notes nommée myNotebookInstance.
{ "Statement": [ { "Action": "sagemaker:CreatePresignedNotebookInstanceUrl", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance", "Principal": "*" } ] }
L'accès aux autres instances de bloc-notes est refusé.
Limitez l'accès aux connexions depuis votre VPC
Même si vous configurez un point de terminaison d'interface dans votre VPC, les personnes extérieures au VPC peuvent se connecter à l'instance de bloc-notes sur Internet.
Important
Si vous appliquez une politique IAM similaire à l'une des suivantes, les utilisateurs ne peuvent pas accéder aux SageMaker API spécifiées ou à l'instance du bloc-notes via la console.
Pour restreindre l'accès aux seules connexions effectuées depuis votre VPC, créez une politique AWS Identity and Access Management qui restreint l'accès aux seuls appels provenant de votre VPC. Ajoutez ensuite cette politique à chaque AWS Identity and Access Management utilisateur, groupe ou rôle utilisé pour accéder à l'instance du bloc-notes.
Note
Cette politique autorise les connexions uniquement pour les mandataires dans un sous-réseau où vous avez créé un point de terminaison d'interface.
{ "Id": "notebook-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable Notebook Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedNotebookInstanceUrl", "sagemaker:DescribeNotebookInstance" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-111bbaaa" } } } ] }
Si vous souhaitez restreindre l'accès à l'instance de bloc-notes aux seules connexions effectuées à l'aide du point de terminaison d'interface, utilisez la clé de condition aws:SourceVpce au lieu de aws:SourceVpc:
{ "Id": "notebook-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable Notebook Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedNotebookInstanceUrl", "sagemaker:DescribeNotebookInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": [ "vpce-111bbccc", "vpce-111bbddd" ] } } } ] }
Ces deux exemples de politique supposent que vous avez également créé un point de terminaison d'interface pour l' SageMaker API. Pour plus d’informations, consultez Connectez-vous à SageMaker Within à votre VPC. Dans le deuxième exemple, l'une des valeurs pour aws:SourceVpce est l'ID du point de terminaison d'interface pour l'instance de bloc-notes. L'autre est l'ID du point de terminaison de l'interface pour l' SageMaker API.
Ici, les exemples de politiques incluent DescribeNotebookInstance car généralement vous appelez DescribeNotebookInstance pour veiller à ce que NotebookInstanceStatus soit InService avant d'essayer de vous y connecter. Par exemple :
aws sagemaker describe-notebook-instance \ --notebook-instance-name myNotebookInstance { "NotebookInstanceArn": "arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance", "NotebookInstanceName": "myNotebookInstance", "NotebookInstanceStatus": "InService", "Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws", "InstanceType": "ml.m4.xlarge", "RoleArn": "arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456", "LastModifiedTime": 1540334777.501, "CreationTime": 1523050674.078, "DirectInternetAccess": "Disabled" } aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance { "AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=AuthToken}
Note
L'URL presigned-notebook-instance-url, AuthorizedUrl, générée peut être utilisée à partir d'un emplacement quelconque sur Internet.
Pour ces deux appels, si vous n'avez pas activé les noms d'hôte DNS privés pour votre point de terminaison VPC, ou si vous utilisez une version du SDK publiée avant AWS le 13 août 2018, vous devez spécifier l'URL du point de terminaison dans l'appel. Par exemple, l'appel à create-presigned-notebook-instance-url est :
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-namemyNotebookInstance--endpoint-urlVPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
