Connect ke Instance Notebook Melalui Endpoint Antarmuka VPC - Amazon SageMaker
Hubungkan Jaringan Pribadi Anda ke VPC AndaMembuat Kebijakan Titik Akhir VPC untuk Instans Notebook SageMakerBatasi Akses ke Koneksi dari Dalam VPC Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Connect ke Instance Notebook Melalui Endpoint Antarmuka VPC

Anda dapat terhubung ke instance notebook dari VPC Anda melalui titik akhir antarmuka di Virtual Private Cloud (VPC) alih-alih terhubung melalui internet publik. Saat Anda menggunakan titik akhir antarmuka VPC, komunikasi antara VPC dan instance notebook dilakukan sepenuhnya dan aman di dalam jaringan. AWS

SageMaker instance notebook mendukung titik akhir antarmuka Amazon Virtual Private Cloud (Amazon VPC) yang didukung oleh. AWS PrivateLink Setiap titik akhir VPC diwakili oleh satu atau lebih Antarmuka Jaringan Elastis dengan alamat IP pribadi di subnet VPC Anda.

catatan

Sebelum Anda membuat titik akhir VPC antarmuka untuk terhubung ke instance notebook, buat titik akhir VPC antarmuka untuk terhubung ke API. SageMaker Dengan begitu, saat pengguna menelepon CreatePresignedNotebookInstanceUrluntuk mendapatkan URL untuk terhubung ke instance notebook, panggilan itu juga melewati titik akhir VPC antarmuka. Untuk informasi, lihat Connect ke SageMaker Dalam VPC Anda.

Anda dapat membuat titik akhir antarmuka untuk terhubung ke instance notebook Anda dengan perintah AWS Management Console or AWS Command Line Interface (AWS CLI). Untuk instruksi, lihat Membuat Titik Akhir Antarmuka. Pastikan Anda membuat titik akhir antarmuka untuk semua subnet di VPC yang ingin Anda sambungkan ke instance notebook.

Saat Anda membuat titik akhir antarmuka, tentukan aws.sagemaker. Region .notebook sebagai nama layanan. Setelah Anda membuat titik akhir VPC, aktifkan DNS pribadi untuk titik akhir VPC Anda. Siapa pun yang menggunakan SageMaker API AWS CLI, the, atau konsol untuk terhubung ke instance notebook dari dalam VPC terhubung ke instance notebook melalui titik akhir VPC alih-alih internet publik.

SageMaker instance notebook mendukung titik akhir VPC di semua Wilayah AWS tempat Amazon VPC dan tersedia. SageMaker

Untuk terhubung ke instans notebook Anda melalui VPC Anda, Anda harus terhubung dari instance yang ada di dalam VPC, atau menghubungkan jaringan pribadi Anda ke VPC Anda dengan menggunakan () atau. AWS Virtual Private Network AWS VPN AWS Direct Connect Untuk selengkapnya AWS VPN, lihat Koneksi VPN di Panduan Pengguna Amazon Virtual Private Cloud. Untuk selengkapnya AWS Direct Connect, lihat Membuat Sambungan di Panduan Pengguna AWS Direct Connect.

Anda dapat membuat kebijakan untuk titik akhir VPC Amazon untuk instance SageMaker notebook untuk menentukan hal berikut:

  • Prinsipal yang dapat melakukan tindakan.

  • Tindakan yang dapat dilakukan.

  • Sumber daya yang menjadi target tindakan.

Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan VPC Endpoint dalam Panduan Pengguna Amazon VPC.

Contoh kebijakan titik akhir VPC berikut menetapkan bahwa semua pengguna yang memiliki akses ke titik akhir diizinkan untuk mengakses instance notebook bernama. myNotebookInstance

{
  "Statement": [
      {
          "Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance",
          "Principal": "*"
      }
  ]
}

Akses ke instance notebook lainnya ditolak.

Bahkan jika Anda mengatur titik akhir antarmuka di VPC Anda, individu di luar VPC dapat terhubung ke instance notebook melalui internet.

penting

Jika Anda menerapkan kebijakan IAM yang mirip dengan salah satu dari berikut ini, pengguna tidak dapat mengakses SageMaker API yang ditentukan atau instance notebook melalui konsol.

Untuk membatasi akses hanya ke koneksi yang dibuat dari dalam VPC Anda, buat kebijakan AWS Identity and Access Management yang membatasi akses hanya ke panggilan yang berasal dari dalam VPC Anda. Kemudian tambahkan kebijakan tersebut ke setiap AWS Identity and Access Management pengguna, grup, atau peran yang digunakan untuk mengakses instance notebook.

catatan

Kebijakan ini hanya mengizinkan koneksi ke penelepon dalam subnet tempat Anda membuat titik akhir antarmuka.

{
    "Id": "notebook-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable Notebook Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedNotebookInstanceUrl",
                "sagemaker:DescribeNotebookInstance"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}

Jika Anda ingin membatasi akses ke instance notebook hanya untuk koneksi yang dibuat menggunakan titik akhir antarmuka, gunakan tombol aws:SourceVpce kondisi alih-alih aws:SourceVpc:

{
    "Id": "notebook-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable Notebook Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedNotebookInstanceUrl",
                "sagemaker:DescribeNotebookInstance"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}

Kedua contoh kebijakan ini mengasumsikan bahwa Anda juga telah membuat titik akhir antarmuka untuk SageMaker API. Untuk informasi selengkapnya, lihat Connect ke SageMaker Dalam VPC Anda. Pada contoh kedua, salah satu nilai untuk aws:SourceVpce adalah ID titik akhir antarmuka untuk instance notebook. Yang lainnya adalah ID titik akhir antarmuka untuk SageMaker API.

Contoh kebijakan di sini termasuk DescribeNotebookInstance, karena biasanya Anda akan menelepon DescribeNotebookInstance untuk memastikan bahwa NotebookInstanceStatus ada InService sebelum Anda mencoba menghubungkannya. Sebagai contoh:

aws sagemaker describe-notebook-instance \
                    --notebook-instance-name myNotebookInstance
                    
                    
{
   "NotebookInstanceArn":
   "arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance",
   "NotebookInstanceName": "myNotebookInstance",
   "NotebookInstanceStatus": "InService",
   "Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws",
   "InstanceType": "ml.m4.xlarge",
   "RoleArn":
   "arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456",
   "LastModifiedTime": 1540334777.501,
   "CreationTime": 1523050674.078,
   "DirectInternetAccess": "Disabled"
}
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance
                
                
{
   "AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=AuthToken
}
catatan

Yangpresigned-notebook-instance-url,AuthorizedUrl, dihasilkan dapat digunakan dari mana saja di internet.

Untuk kedua panggilan ini, jika Anda tidak mengaktifkan nama host DNS pribadi untuk titik akhir VPC Anda, atau jika Anda menggunakan versi AWS SDK yang dirilis sebelum 13 Agustus 2018, Anda harus menentukan URL titik akhir dalam panggilan. Misalnya, panggilan ke create-presigned-notebook-instance-url adalah:

aws sagemaker create-presigned-notebook-instance-url
    --notebook-instance-name myNotebookInstance --endpoint-url
    VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com