Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Konfigurasikan Amazon SageMaker Canvas di VPC tanpa akses internet

PDF
RSS
Mode fokus
Konfigurasikan Amazon SageMaker Canvas di VPC tanpa akses internet - Amazon SageMaker AI
Konfigurasikan Amazon SageMaker Canvas di VPC tanpa akses internet

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Aplikasi Amazon SageMaker Canvas berjalan dalam wadah di Amazon Virtual Private Cloud (VPC) yang AWS dikelola. Jika Anda ingin mengontrol akses lebih lanjut ke sumber daya Anda atau menjalankan SageMaker Canvas tanpa akses internet publik, Anda dapat mengonfigurasi domain Amazon SageMaker AI dan pengaturan VPC Anda. Dalam VPC Anda sendiri, Anda dapat mengonfigurasi pengaturan seperti grup keamanan (firewall virtual yang mengontrol lalu lintas masuk dan keluar dari instans EC2 Amazon) dan subnet (rentang alamat IP di VPC Anda). Untuk mempelajari selengkapnya VPCs, lihat Cara kerja Amazon VPC.

Ketika aplikasi SageMaker Canvas berjalan di VPC AWS terkelola, ia dapat berinteraksi dengan AWS layanan lain menggunakan koneksi internet atau melalui titik akhir VPC yang dibuat dalam VPC yang dikelola pelanggan (tanpa akses internet publik). SageMaker Aplikasi Canvas dapat mengakses titik akhir VPC ini melalui antarmuka jaringan yang dibuat Studio Classic yang menyediakan konektivitas ke VPC yang dikelola pelanggan. Perilaku default aplikasi SageMaker Canvas adalah memiliki akses internet. Saat menggunakan koneksi internet, wadah untuk pekerjaan sebelumnya mengakses AWS sumber daya melalui internet, seperti bucket Amazon S3 tempat Anda menyimpan data pelatihan dan artefak model.

Namun, jika Anda memiliki persyaratan keamanan untuk mengontrol akses ke data dan wadah pekerjaan Anda, kami sarankan Anda mengonfigurasi SageMaker Canvas dan VPC Anda sehingga data dan container Anda tidak dapat diakses melalui internet. SageMaker AI menggunakan pengaturan konfigurasi VPC yang Anda tentukan saat menyiapkan domain untuk SageMaker Canvas.

Jika Anda ingin mengonfigurasi aplikasi SageMaker Canvas Anda tanpa akses internet, Anda harus mengonfigurasi pengaturan VPC saat Anda onboard ke domain Amazon SageMaker AI, mengatur titik akhir VPC, dan memberikan izin yang diperlukan. AWS Identity and Access Management Untuk informasi tentang mengonfigurasi VPC di SageMaker Amazon AI, lihat. Pilih VPC Amazon Bagian berikut menjelaskan cara menjalankan SageMaker Canvas di VPC tanpa akses internet publik.

Konfigurasikan Amazon SageMaker Canvas di VPC tanpa akses internet

Anda dapat mengirim lalu lintas dari SageMaker Canvas ke AWS layanan lain melalui VPC Anda sendiri. Jika VPC Anda sendiri tidak memiliki akses internet publik dan Anda telah mengatur domain Anda dalam mode VPC saja, maka SageMaker Canvas tidak akan memiliki akses internet publik juga. Ini mencakup semua permintaan, seperti mengakses kumpulan data di Amazon S3 atau pekerjaan pelatihan untuk build standar, dan permintaan melalui titik akhir VPC di VPC Anda, bukan internet publik. Saat Anda onboard ke domain danPilih VPC Amazon, Anda dapat menentukan VPC Anda sendiri sebagai VPC default untuk domain, bersama dengan grup keamanan dan pengaturan subnet yang Anda inginkan. Kemudian, SageMaker AI membuat antarmuka jaringan di VPC Anda yang digunakan SageMaker Canvas untuk mengakses titik akhir VPC di VPC Anda.

Pastikan Anda menyiapkan satu atau beberapa grup keamanan di VPC Anda dengan aturan masuk dan keluar yang memungkinkan lalu lintas TCP dalam grup keamanan. Ini diperlukan untuk konektivitas antara aplikasi Jupyter Server dan aplikasi Kernel Gateway. Anda harus mengizinkan akses ke setidaknya port dalam jangkauan8192-65535. Juga, pastikan untuk membuat grup keamanan yang berbeda untuk setiap profil pengguna dan menambahkan akses masuk dari grup keamanan yang sama. Kami tidak menyarankan untuk menggunakan kembali grup keamanan tingkat domain untuk profil pengguna. Jika grup keamanan tingkat domain memungkinkan akses masuk ke dirinya sendiri, semua aplikasi dalam domain memiliki akses ke semua aplikasi lain di domain. Perhatikan bahwa grup keamanan dan pengaturan subnet disetel setelah Anda selesai melakukan onboarding ke domain.

Saat melakukan onboarding ke domain, jika Anda memilih Internet Publik hanya sebagai jenis akses jaringan, VPC SageMaker dikelola AI dan memungkinkan akses internet.

Anda dapat mengubah perilaku ini dengan memilih VPC saja sehingga SageMaker AI mengirimkan semua lalu lintas ke antarmuka jaringan yang dibuat SageMaker AI di VPC yang Anda tentukan. Ketika Anda memilih opsi ini, Anda harus menyediakan subnet, grup keamanan, dan titik akhir VPC yang diperlukan untuk berkomunikasi dengan SageMaker API SageMaker dan AI Runtime, dan AWS berbagai layanan, seperti Amazon S3 dan CloudWatch Amazon, yang digunakan oleh Canvas. SageMaker Perhatikan bahwa Anda hanya dapat mengimpor data dari bucket Amazon S3 yang terletak di Wilayah yang sama dengan VPC Anda.

Prosedur berikut menunjukkan bagaimana Anda dapat mengonfigurasi pengaturan ini untuk menggunakan SageMaker Canvas tanpa internet.

Langkah 1: Onboard ke domain Amazon SageMaker AI

Untuk mengirim lalu lintas SageMaker Canvas ke antarmuka jaringan di VPC Anda sendiri alih-alih melalui internet, tentukan VPC yang ingin Anda gunakan saat melakukan orientasi ke domain Amazon AI. SageMaker Anda juga harus menentukan setidaknya dua subnet di VPC Anda SageMaker yang dapat digunakan AI. Pilih Pengaturan standar dan lakukan prosedur berikut saat mengonfigurasi Bagian Jaringan dan Penyimpanan untuk domain.

  1. Pilih VPC yang Anda inginkan.

  2. Pilih dua atau lebih Subnet. Jika Anda tidak menentukan subnet, SageMaker AI menggunakan semua subnet di VPC.

  3. Pilih satu atau beberapa grup Keamanan.

  4. Pilih VPC Only untuk mematikan akses internet langsung di AWS VPC terkelola tempat SageMaker Canvas di-host.

Setelah menonaktifkan akses internet, selesaikan proses orientasi untuk mengatur domain Anda. Untuk informasi selengkapnya tentang pengaturan VPC untuk domain Amazon SageMaker AI, lihat. Pilih VPC Amazon

Langkah 2: Konfigurasikan titik akhir dan akses VPC

catatan

Untuk mengonfigurasi Canvas di VPC Anda sendiri, Anda harus mengaktifkan nama host DNS pribadi untuk titik akhir VPC Anda. Untuk informasi selengkapnya, lihat Connect to SageMaker AI Through a VPC Interface Endpoint.

SageMaker Canvas hanya mengakses AWS layanan lain untuk mengelola dan menyimpan data untuk fungsinya. Misalnya, terhubung ke Amazon Redshift jika pengguna Anda mengakses database Amazon Redshift. Itu dapat terhubung ke AWS layanan seperti Amazon Redshift menggunakan koneksi internet atau titik akhir VPC. Gunakan titik akhir VPC jika Anda ingin mengatur koneksi dari VPC ke AWS layanan yang tidak menggunakan internet publik.

Endpoint VPC menciptakan koneksi pribadi ke AWS layanan yang menggunakan jalur jaringan yang terisolasi dari internet publik. Misalnya, jika Anda mengatur akses ke Amazon S3 menggunakan titik akhir VPC dari VPC Anda sendiri, maka aplikasi Canvas SageMaker dapat mengakses Amazon S3 dengan melalui antarmuka jaringan di VPC Anda dan kemudian melalui titik akhir VPC yang terhubung ke Amazon S3. Komunikasi antara SageMaker Canvas dan Amazon S3 bersifat pribadi.

Untuk informasi selengkapnya tentang mengonfigurasi titik akhir VPC untuk VPC Anda, lihat. AWS PrivateLink Jika Anda menggunakan model Amazon Bedrock di Canvas dengan VPC, untuk informasi selengkapnya tentang mengontrol akses ke data Anda, lihat Melindungi pekerjaan menggunakan VPC di Panduan Pengguna Amazon Bedrock.

Berikut ini adalah titik akhir VPC untuk setiap layanan yang dapat Anda gunakan dengan Canvas: SageMaker

Layanan Titik Akhir Jenis titik akhir

AWS Application Auto Scaling

com.amazonaws. Region.application-autoscaling

Antarmuka

Amazon Athena

com.amazonaws. Region.athena

Antarmuka

Amazon SageMaker AI

com.amazonaws. Region.sagemaker.api

com.amazonaws. Region.sagemaker.runtime

com.amazonaws. Region.buku catatan

Antarmuka

Asisten Ilmu Data SageMaker AI Amazon

com.amazonaws. Region. sagemaker-data-science-assistant

Antarmuka

AWS Security Token Service

com.amazonaws. Region.sts

Antarmuka

Amazon Elastic Container Registry (Amazon ECR)

com.amazonaws. Region.ecr.api

com.amazonaws. Region.ecr.dkr

Antarmuka

Amazon Elastic Compute Cloud (Amazon EC2)

com.amazonaws. Region.ec2

Antarmuka

Amazon Simple Storage Service (Amazon S3)

com.amazonaws. Region.s3

Gateway

Amazon Redshift

com.amazonaws. Region.redshift-data

Antarmuka

AWS Secrets Manager

com.amazonaws. Region.secretsmanager

Antarmuka

AWS Systems Manager

com.amazonaws. Region.ssm

Antarmuka

Amazon CloudWatch

com.amazonaws. Region.pemantauan

Antarmuka

CloudWatch Log Amazon

com.amazonaws. Region.log

Antarmuka

Amazon Forecast

com.amazonaws. Region.perkiraan

com.amazonaws. Region.forecastquery

Antarmuka

Amazon Textract

com.amazonaws. Region.textract

Antarmuka

Amazon Comprehend

com.amazonaws. Region.comprehend

Antarmuka

Amazon Rekognition

com.amazonaws. Region.rekognisi

Antarmuka

AWS Glue

com.amazonaws. Region.lem

Antarmuka

AWS Application Auto Scaling

com.amazonaws. Region.application-autoscaling

Antarmuka

Amazon Relational Database Service (Amazon RDS)

com.amazonaws. Region.rds

Antarmuka

Amazon Bedrock (lihat catatan demi tabel)

com.amazonaws. Region.bedrock-runtime

Antarmuka

Amazon Kendra

com.amazonaws. Region.kendra

Antarmuka

Amazon EMR Tanpa Server

com.amazonaws. Region.emr-tanpa server

Antarmuka

Pengembang Amazon Q (lihat catatan setelah tabel)

com.amazonaws. Region.q

Antarmuka
catatan

Titik akhir VPC Pengembang Amazon Q saat ini hanya tersedia di wilayah AS Timur (Virginia N.). Untuk menghubungkannya dari wilayah lain, Anda dapat memilih salah satu opsi berikut berdasarkan preferensi keamanan dan infrastruktur Anda:

  • Siapkan Gateway NAT. Konfigurasikan Gateway NAT di subnet pribadi VPC Anda untuk mengaktifkan konektivitas internet untuk titik akhir Q Developer. Untuk informasi selengkapnya, lihat Menyiapkan Gateway NAT di Subnet Pribadi VPC.

  • Aktifkan akses titik akhir VPC lintas wilayah. Siapkan akses titik akhir VPC lintas wilayah untuk Pengembang Q. Gunakan opsi ini untuk terhubung dengan aman tanpa memerlukan akses internet. Untuk informasi selengkapnya, lihat Mengonfigurasi Akses Titik Akhir VPC Lintas Wilayah.

catatan

Untuk Amazon Bedrock, nama layanan titik akhir antarmuka tidak digunakan com.amazonaws.Region.bedrock lagi. Buat titik akhir VPC baru dengan nama layanan yang tercantum dalam tabel sebelumnya.

Selain itu, Anda tidak dapat menyempurnakan model foundation dari Canvas VPCs tanpa akses internet. Ini karena Amazon Bedrock tidak mendukung titik akhir VPC untuk penyesuaian model. APIs Untuk mempelajari lebih lanjut tentang fine-tuning model foundation di Canvas, lihat. Model pondasi yang menyempurnakan

Anda juga harus menambahkan kebijakan titik akhir untuk Amazon S3 untuk AWS mengontrol akses utama ke titik akhir VPC Anda. Untuk informasi tentang cara memperbarui kebijakan titik akhir VPC Anda, lihat Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir.

Berikut ini adalah dua kebijakan titik akhir VPC yang dapat Anda gunakan. Gunakan kebijakan pertama jika Anda hanya ingin memberikan akses ke fungsionalitas dasar Canvas, seperti mengimpor data dan membuat model. Gunakan kebijakan kedua jika Anda ingin memberikan akses ke fitur AI geneneratif tambahan di Canvas.

Basic VPC endpoint policy

Kebijakan berikut memberikan akses yang diperlukan ke titik akhir VPC Anda untuk operasi dasar di Canvas.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }
Generative AI VPC endpoint policy

Kebijakan berikut memberikan akses yang diperlukan ke titik akhir VPC Anda untuk operasi dasar di Canvas, serta menggunakan model dasar AI generatif.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*",
                "arn:aws:s3:::*fmeval/datasets*",
                "arn:aws:s3:::*jumpstart-cache-prod*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }
anchoranchor

Kebijakan berikut memberikan akses yang diperlukan ke titik akhir VPC Anda untuk operasi dasar di Canvas.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }

Langkah 3: Berikan izin IAM

Pengguna SageMaker Canvas harus memiliki AWS Identity and Access Management izin yang diperlukan untuk memungkinkan koneksi ke titik akhir VPC. Peran IAM yang Anda berikan izin harus sama dengan yang Anda gunakan saat orientasi ke domain Amazon SageMaker AI. Anda dapat melampirkan AmazonSageMakerFullAccess kebijakan terkelola SageMaker AI ke peran IAM agar pengguna dapat memberikan izin yang diperlukan kepada pengguna. Jika Anda memerlukan izin IAM yang lebih ketat dan menggunakan kebijakan khusus sebagai gantinya, berikan izin kepada peran pengguna. ec2:DescribeVpcEndpointServices SageMaker Canvas memerlukan izin ini untuk memverifikasi keberadaan titik akhir VPC yang diperlukan untuk pekerjaan build standar. Jika mendeteksi titik akhir VPC ini, maka pekerjaan build standar dijalankan secara default di VPC Anda. Jika tidak, mereka akan berjalan di VPC AWS terkelola default.

Untuk petunjuk tentang cara melampirkan kebijakan AmazonSageMakerFullAccess IAM ke peran IAM pengguna Anda, lihat Menambahkan dan menghapus izin identitas IAM.

Untuk memberikan ec2:DescribeVpcEndpointServices izin terperinci kepada peran IAM pengguna Anda, gunakan prosedur berikut.

  1. Masuk ke AWS Management Console dan buka konsol IAM.

  2. Di panel navigasi, pilih Peran.

  3. Dalam daftar, pilih nama peran yang ingin Anda berikan izin.

  4. Pilih tab Izin.

  5. Pilih Tambahkan izin, lalu pilih Buat kebijakan sebaris.

  6. Pilih tab JSON dan masukkan kebijakan berikut, yang memberikan izin: ec2:DescribeVpcEndpointServices

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "ec2:DescribeVpcEndpointServices",
            "Resource": "*"
        }
    ]
}

  7. Pilih Kebijakan tinjauan, lalu masukkan Nama untuk kebijakan (misalnya,VPCEndpointPermissions).

  8. Pilih Buat kebijakan.

Peran IAM pengguna sekarang harus memiliki izin untuk mengakses titik akhir VPC yang dikonfigurasi di VPC Anda.

(Opsional) Langkah 4: Ganti pengaturan grup keamanan untuk pengguna tertentu

Jika Anda seorang administrator, Anda mungkin ingin pengguna yang berbeda memiliki pengaturan VPC yang berbeda, atau pengaturan VPC khusus pengguna. Saat Anda mengganti pengaturan grup keamanan VPC default untuk pengguna tertentu, pengaturan ini diteruskan ke aplikasi SageMaker Canvas untuk pengguna tersebut.

Anda dapat mengganti grup keamanan yang dapat diakses pengguna tertentu di VPC saat menyiapkan profil pengguna baru di Studio Classic. Anda dapat menggunakan panggilan CreateUserProfile SageMaker API (atau create_user_profile dengan AWS CLI), dan kemudian diUserSettings, Anda dapat menentukan untuk pengguna. SecurityGroups

Di halaman ini

Related resources

Amazon SageMaker AI Referensi API
AWS CLI perintah untuk Amazon SageMaker AI
SDKs & Alat 

Related resources

Amazon SageMaker AI Referensi API
AWS CLI perintah untuk Amazon SageMaker AI
SDKs & Alat 
PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.