Konfigurasikan Amazon SageMaker Canvas VPC tanpa akses internet - Amazon SageMaker AI
Konfigurasikan Amazon SageMaker Canvas VPC tanpa akses internet

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan Amazon SageMaker Canvas VPC tanpa akses internet

Aplikasi Amazon SageMaker Canvas berjalan dalam wadah di Amazon Virtual Private Cloud (VPC) yang AWS dikelola. Jika Anda ingin mengontrol akses lebih lanjut ke sumber daya Anda atau menjalankan SageMaker Canvas tanpa akses internet publik, Anda dapat mengonfigurasi domain dan VPC pengaturan Amazon SageMaker AI Anda. Dalam pengaturan Anda sendiriVPC, Anda dapat mengonfigurasi pengaturan seperti grup keamanan (firewall virtual yang mengontrol lalu lintas masuk dan keluar dari EC2 instans Amazon) dan subnet (rentang alamat IP di Anda). VPC Untuk mempelajari selengkapnyaVPCs, lihat Cara VPC kerja Amazon.

Ketika aplikasi SageMaker Canvas berjalan di AWS managedVPC, dapat berinteraksi dengan AWS layanan lain baik menggunakan koneksi internet atau melalui VPC endpoint yang dibuat dalam customer-managed VPC (tanpa akses internet publik). SageMaker Aplikasi Canvas dapat mengakses VPC titik akhir ini melalui antarmuka jaringan yang dibuat Studio Classic yang menyediakan konektivitas ke yang dikelola pelanggan. VPC Perilaku default aplikasi SageMaker Canvas adalah memiliki akses internet. Saat menggunakan koneksi internet, wadah untuk pekerjaan sebelumnya mengakses AWS sumber daya melalui internet, seperti bucket Amazon S3 tempat Anda menyimpan data pelatihan dan artefak model.

Namun, jika Anda memiliki persyaratan keamanan untuk mengontrol akses ke data dan wadah pekerjaan Anda, sebaiknya Anda mengonfigurasi SageMaker Canvas dan wadah Anda VPC agar data dan wadah Anda tidak dapat diakses melalui internet. SageMaker AI menggunakan pengaturan VPC konfigurasi yang Anda tentukan saat menyiapkan domain Anda untuk SageMaker Canvas.

Jika Anda ingin mengonfigurasi aplikasi SageMaker Canvas Anda tanpa akses internet, Anda harus mengonfigurasi VPC pengaturan saat Anda melakukan onboard ke domain Amazon SageMaker AI, mengatur VPC titik akhir, dan memberikan izin yang diperlukan AWS Identity and Access Management . Untuk informasi tentang mengonfigurasi SageMaker AI VPC di Amazon, lihatPilih Amazon VPC. Bagian berikut menjelaskan cara menjalankan SageMaker Canvas VPC tanpa akses internet publik.

Konfigurasikan Amazon SageMaker Canvas VPC tanpa akses internet

Anda dapat mengirim lalu lintas dari SageMaker Canvas ke AWS layanan lain melalui layanan Anda sendiriVPC. Jika Anda sendiri VPC tidak memiliki akses internet publik dan Anda telah mengatur domain Anda VPChanya dalam mode, maka SageMaker Canvas tidak akan memiliki akses internet publik juga. Ini mencakup semua permintaan, seperti mengakses kumpulan data di Amazon S3 atau pekerjaan pelatihan untuk build standar, dan permintaan melalui VPC titik akhir di internet Anda, bukan di internet publik. VPC Ketika Anda onboard ke domain danPilih Amazon VPC, Anda dapat menentukan sendiri VPC sebagai default VPC untuk domain, bersama dengan grup keamanan dan pengaturan subnet yang Anda inginkan. Kemudian, SageMaker AI membuat antarmuka jaringan di Canvas Anda VPC yang digunakan SageMaker Canvas untuk mengakses VPC titik akhir di AndaVPC.

Pastikan Anda mengatur satu atau lebih grup keamanan VPC dengan aturan masuk dan keluar yang memungkinkan TCPlalu lintas dalam grup keamanan. Ini diperlukan untuk konektivitas antara aplikasi Jupyter Server dan aplikasi Kernel Gateway. Anda harus mengizinkan akses ke setidaknya port dalam jangkauan8192-65535. Juga, pastikan untuk membuat grup keamanan yang berbeda untuk setiap profil pengguna dan menambahkan akses masuk dari grup keamanan yang sama. Kami tidak menyarankan untuk menggunakan kembali grup keamanan tingkat domain untuk profil pengguna. Jika grup keamanan tingkat domain memungkinkan akses masuk ke dirinya sendiri, semua aplikasi dalam domain memiliki akses ke semua aplikasi lain di domain. Perhatikan bahwa grup keamanan dan pengaturan subnet disetel setelah Anda selesai melakukan onboarding ke domain.

Saat melakukan onboarding ke domain, jika Anda memilih Internet Publik hanya sebagai jenis akses jaringan, SageMaker AI VPC dikelola dan memungkinkan akses internet.

Anda dapat mengubah perilaku ini dengan memilih VPChanya agar SageMaker AI mengirimkan semua lalu lintas ke antarmuka jaringan yang dibuat SageMaker AI dalam spesifikasi AndaVPC. Ketika Anda memilih opsi ini, Anda harus menyediakan subnet, grup keamanan, dan VPC titik akhir yang diperlukan untuk berkomunikasi dengan SageMaker API dan SageMaker AI Runtime, dan berbagai AWS layanan, seperti Amazon S3 dan Amazon CloudWatch, yang digunakan oleh Canvas. SageMaker Perhatikan bahwa Anda hanya dapat mengimpor data dari bucket Amazon S3 yang terletak di Wilayah yang sama dengan Anda. VPC

Prosedur berikut menunjukkan bagaimana Anda dapat mengonfigurasi pengaturan ini untuk menggunakan SageMaker Canvas tanpa internet.

Langkah 1: Onboard ke domain Amazon SageMaker AI

Untuk mengirim lalu lintas SageMaker Canvas ke antarmuka jaringan Anda sendiri, VPC bukan melalui internet, tentukan yang ingin VPC Anda gunakan saat orientasi ke domain Amazon SageMaker AI. Anda juga harus menentukan setidaknya dua subnet VPC yang dapat digunakan SageMaker AI. Pilih Pengaturan standar dan lakukan prosedur berikut saat mengonfigurasi Bagian Jaringan dan Penyimpanan untuk domain.

  1. Pilih yang Anda inginkan VPC.

  2. Pilih dua atau lebih subnet. Jika Anda tidak menentukan subnet, SageMaker AI menggunakan semua subnet di. VPC

  3. Pilih satu atau beberapa grup Keamanan.

  4. Pilih VPCHanya untuk mematikan akses internet langsung di VPC tempat SageMaker Canvas dihosting yang AWS dikelola.

Setelah menonaktifkan akses internet, selesaikan proses orientasi untuk mengatur domain Anda. Untuk informasi selengkapnya tentang VPC pengaturan untuk domain Amazon SageMaker AI, lihatPilih Amazon VPC.

Langkah 2: Konfigurasikan VPC titik akhir dan akses

catatan

Untuk mengonfigurasi Canvas sendiriVPC, Anda harus mengaktifkan DNS nama host pribadi untuk titik VPC akhir Anda. Untuk informasi selengkapnya, lihat Connect to SageMaker AI Through a VPC Interface Endpoint.

SageMaker Canvas hanya mengakses AWS layanan lain untuk mengelola dan menyimpan data untuk fungsinya. Misalnya, terhubung ke Amazon Redshift jika pengguna Anda mengakses database Amazon Redshift. Itu dapat terhubung ke AWS layanan seperti Amazon Redshift menggunakan koneksi internet atau titik akhir. VPC Gunakan VPC titik akhir jika Anda ingin mengatur koneksi dari layanan Anda VPC ke AWS layanan yang tidak menggunakan internet publik.

VPCEndpoint menciptakan koneksi pribadi ke AWS layanan yang menggunakan jalur jaringan yang terisolasi dari internet publik. Misalnya, jika Anda mengatur akses ke Amazon S3 menggunakan VPC titik akhir dari milik Anda sendiriVPC, maka aplikasi SageMaker Canvas dapat mengakses Amazon S3 dengan melalui antarmuka jaringan di Anda VPC dan kemudian melalui titik VPC akhir yang terhubung ke Amazon S3. Komunikasi antara SageMaker Canvas dan Amazon S3 bersifat pribadi.

Untuk informasi selengkapnya tentang mengonfigurasi VPC titik akhir untuk AndaVPC, lihat. AWS PrivateLink Jika Anda menggunakan model Amazon Bedrock di Canvas denganVPC, untuk informasi selengkapnya tentang mengontrol akses ke data Anda, lihat Melindungi pekerjaan menggunakan VPC di Panduan Pengguna Amazon Bedrock.

Berikut ini adalah VPC titik akhir untuk setiap layanan yang dapat Anda gunakan dengan SageMaker Canvas:

Layanan Titik Akhir Jenis titik akhir

AWS Application Auto Scaling

com.amazonaws. Region.application-autoscaling

Antarmuka

Amazon Athena

com.amazonaws. Region.athena

Antarmuka

Amazon SageMaker AI

com.amazonaws. Region.sagemaker.api

com.amazonaws. Region.sagemaker.runtime

com.amazonaws. Region.buku catatan

Antarmuka

Asisten Ilmu Data SageMaker AI Amazon

com.amazonaws. Region. sagemaker-data-science-assistant

Antarmuka

AWS Security Token Service

com.amazonaws. Region.sts

Antarmuka

Registri Wadah Elastis Amazon (AmazonECR)

com.amazonaws. Region.ecr.api

com.amazonaws. Region.ecr.dkr

Antarmuka

Amazon Elastic Compute Cloud (AmazonEC2)

com.amazonaws. Region.ec2

Antarmuka

Amazon Simple Storage Service (Amazon S3)

com.amazonaws. Region.s3

Gateway

Amazon Redshift

com.amazonaws. Region.redshift-data

Antarmuka

AWS Secrets Manager

com.amazonaws. Region.secretsmanager

Antarmuka

AWS Systems Manager

com.amazonaws. Region.ssm

Antarmuka

Amazon CloudWatch

com.amazonaws. Region.pemantauan

Antarmuka

CloudWatch Log Amazon

com.amazonaws. Region.log

Antarmuka

Amazon Forecast

com.amazonaws. Region.perkiraan

com.amazonaws. Region.forecastquery

Antarmuka

Amazon Textract

com.amazonaws. Region.textract

Antarmuka

Amazon Comprehend

com.amazonaws. Region.comprehend

Antarmuka

Amazon Rekognition

com.amazonaws. Region.rekognisi

Antarmuka

AWS Glue

com.amazonaws. Region.lem

Antarmuka

AWS Application Auto Scaling

com.amazonaws. Region.application-autoscaling

Antarmuka

Amazon Relational Database Service (AmazonRDS)

com.amazonaws. Region.rds

Antarmuka

Amazon Bedrock (lihat catatan demi tabel)

com.amazonaws. Region.bedrock-runtime

Antarmuka

Amazon Kendra

com.amazonaws. Region.kendra

Antarmuka

Amazon Tanpa EMR Server

com.amazonaws. Region.emr-tanpa server

Antarmuka

Pengembang Amazon Q (lihat catatan setelah tabel)

com.amazonaws. Region.q

Antarmuka
catatan

VPCEndpoint Pengembang Amazon Q saat ini hanya tersedia di wilayah AS Timur (Virginia N.). Untuk menghubungkannya dari wilayah lain, Anda dapat memilih salah satu opsi berikut berdasarkan preferensi keamanan dan infrastruktur Anda:

  • Siapkan NAT Gateway. Konfigurasikan NAT Gateway di subnet pribadi Anda VPC untuk mengaktifkan konektivitas internet untuk titik akhir Q Developer. Untuk informasi selengkapnya, lihat Menyiapkan NAT Gateway di Subnet VPC Pribadi.

  • Aktifkan akses VPC titik akhir lintas wilayah. Siapkan akses VPC endpoint lintas wilayah untuk Q Developer. Gunakan opsi ini untuk terhubung dengan aman tanpa memerlukan akses internet. Untuk informasi selengkapnya, lihat Mengonfigurasi Akses Titik VPC Akhir Lintas Wilayah.

catatan

Untuk Amazon Bedrock, nama layanan titik akhir antarmuka tidak digunakan com.amazonaws.Region.bedrock lagi. Buat VPC endpoint baru dengan nama layanan yang tercantum dalam tabel sebelumnya.

Selain itu, Anda tidak dapat menyempurnakan model foundation dari Canvas VPCs tanpa akses internet. Ini karena Amazon Bedrock tidak mendukung VPC titik akhir untuk penyesuaian model. APIs Untuk mempelajari lebih lanjut tentang fine-tuning model foundation di Canvas, lihat. Model pondasi yang menyempurnakan

Anda juga harus menambahkan kebijakan titik akhir untuk Amazon S3 untuk AWS mengontrol akses utama ke titik akhir AndaVPC. Untuk informasi tentang cara memperbarui kebijakan VPC titik akhir Anda, lihat Mengontrol akses ke titik VPC akhir menggunakan kebijakan titik akhir.

Berikut ini adalah dua kebijakan VPC endpoint yang dapat Anda gunakan. Gunakan kebijakan pertama jika Anda hanya ingin memberikan akses ke fungsionalitas dasar Canvas, seperti mengimpor data dan membuat model. Gunakan kebijakan kedua jika Anda ingin memberikan akses ke fitur AI geneneratif tambahan di Canvas.

Basic VPC endpoint policy

Kebijakan berikut memberikan akses yang diperlukan ke VPC titik akhir Anda untuk operasi dasar di Canvas.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }
Generative AI VPC endpoint policy

Kebijakan berikut memberikan akses yang diperlukan ke VPC titik akhir Anda untuk operasi dasar di Canvas, serta menggunakan model dasar AI generatif.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*",
                "arn:aws:s3:::*fmeval/datasets*",
                "arn:aws:s3:::*jumpstart-cache-prod*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }

Langkah 3: Berikan IAM izin

Pengguna SageMaker Canvas harus memiliki AWS Identity and Access Management izin yang diperlukan untuk memungkinkan koneksi ke titik VPC akhir. IAMPeran yang Anda berikan izin harus sama dengan yang Anda gunakan saat orientasi ke domain Amazon SageMaker AI. Anda dapat melampirkan AmazonSageMakerFullAccess kebijakan terkelola SageMaker AI ke IAM peran agar pengguna dapat memberikan izin yang diperlukan kepada pengguna. Jika Anda memerlukan IAM izin yang lebih ketat dan menggunakan kebijakan khusus sebagai gantinya, berikan izin kepada peran pengguna. ec2:DescribeVpcEndpointServices SageMaker Canvas memerlukan izin ini untuk memverifikasi keberadaan VPC titik akhir yang diperlukan untuk pekerjaan build standar. Jika mendeteksi VPC titik akhir ini, maka pekerjaan build standar dijalankan secara default di Anda. VPC Jika tidak, mereka akan berjalan di default yang AWS dikelolaVPC.

Untuk petunjuk tentang cara melampirkan AmazonSageMakerFullAccess IAM kebijakan ke IAM peran pengguna, lihat Menambahkan dan menghapus izin IAM identitas.

Untuk memberikan ec2:DescribeVpcEndpointServices izin terperinci kepada IAM peran pengguna Anda, gunakan prosedur berikut.

  1. Masuk ke AWS Management Console dan buka IAMkonsol.

  2. Di panel navigasi, pilih Peran.

  3. Dalam daftar, pilih nama peran yang ingin Anda berikan izin.

  4. Pilih tab Izin.

  5. Pilih Tambahkan izin, lalu pilih Buat kebijakan sebaris.

  6. Pilih JSONtab dan masukkan kebijakan berikut, yang memberikan ec2:DescribeVpcEndpointServices izin:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "ec2:DescribeVpcEndpointServices",
            "Resource": "*"
        }
    ]
}

  7. Pilih Kebijakan tinjauan, lalu masukkan Nama untuk kebijakan (misalnya,VPCEndpointPermissions).

  8. Pilih Buat kebijakan.

IAMPeran pengguna sekarang harus memiliki izin untuk mengakses VPC titik akhir yang dikonfigurasi di Anda. VPC

(Opsional) Langkah 4: Ganti pengaturan grup keamanan untuk pengguna tertentu

Jika Anda seorang administrator, Anda mungkin ingin pengguna yang berbeda memiliki VPC pengaturan yang berbeda, atau pengaturan khusus penggunaVPC. Ketika Anda mengganti pengaturan grup keamanan default VPC untuk pengguna tertentu, pengaturan ini diteruskan ke aplikasi SageMaker Canvas untuk pengguna tersebut.

Anda dapat mengganti grup keamanan yang dapat diakses pengguna tertentu VPC saat menyiapkan profil pengguna baru di Studio Classic. Anda dapat menggunakan CreateUserProfile SageMaker APIpanggilan (atau create_user_profile dengan AWS CLI), dan kemudian diUserSettings, Anda dapat menentukan untuk pengguna. SecurityGroups