Configura Amazon SageMaker Canvas in un VPC senza accesso a Internet - Amazon SageMaker AI
Configura Amazon SageMaker Canvas in un VPC senza accesso a Internet

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura Amazon SageMaker Canvas in un VPC senza accesso a Internet

L'applicazione Amazon SageMaker Canvas viene eseguita in un contenitore in un Amazon Virtual Private Cloud (VPC) AWS gestito. Se desideri controllare ulteriormente l'accesso alle tue risorse o eseguire SageMaker Canvas senza accesso pubblico a Internet, puoi configurare il dominio Amazon SageMaker AI e le impostazioni VPC. All'interno del tuo VPC, puoi configurare impostazioni come gruppi di sicurezza (firewall virtuali che controllano il traffico in entrata e in uscita dalle istanze EC2 Amazon) e sottoreti (intervalli di indirizzi IP nel tuo VPC). Per ulteriori informazioni VPCs, consulta Come funziona Amazon VPC.

Quando l'applicazione SageMaker Canvas è in esecuzione nel VPC AWS gestito, può interagire con altri AWS servizi utilizzando una connessione Internet o tramite endpoint VPC creati in un VPC gestito dal cliente (senza accesso pubblico a Internet). SageMaker Le applicazioni Canvas possono accedere a questi endpoint VPC tramite un'interfaccia di rete creata da Studio Classic che fornisce connettività al VPC gestito dal cliente. Il comportamento predefinito dell'applicazione Canvas prevede l'accesso a Internet. SageMaker Quando si utilizza una connessione Internet, i container dei processi precedenti accedono a risorse AWS su Internet, come i bucket Amazon S3, in cui vengono archiviati i dati di addestramento e gli artefatti del modello.

Tuttavia, se hai requisiti di sicurezza per controllare l'accesso ai contenitori di dati e lavori, ti consigliamo di configurare SageMaker Canvas e il tuo VPC in modo che dati e contenitori non siano accessibili su Internet. SageMaker AI utilizza le impostazioni di configurazione VPC specificate durante la configurazione del dominio per SageMaker Canvas.

Se desideri configurare la tua applicazione SageMaker Canvas senza accesso a Internet, devi configurare le impostazioni VPC durante l'onboarding nel dominio Amazon SageMaker AI, configurare gli endpoint VPC e concedere le autorizzazioni necessarie. AWS Identity and Access Management Per informazioni sulla configurazione di un VPC in SageMaker Amazon AI, consulta. Scelta di un Amazon VPC Le sezioni seguenti descrivono come eseguire SageMaker Canvas in un VPC senza accesso pubblico a Internet.

Configura Amazon SageMaker Canvas in un VPC senza accesso a Internet

Puoi inviare traffico da SageMaker Canvas ad altri AWS servizi tramite il tuo VPC. Se il tuo VPC non dispone di accesso pubblico a Internet e hai impostato il dominio in modalità solo VPC, SageMaker Canvas non avrà nemmeno l'accesso pubblico a Internet. Ciò include tutte le richieste, come l'accesso ai set di dati in Amazon S3 o i processi di addestramento per le build Standard, che quindi passano attraverso gli endpoint VPC nel tuo VPC anziché tramite la rete Internet pubblica. Quando effettui l'onboarding nel dominio eScelta di un Amazon VPC, puoi specificare il tuo VPC come VPC predefinito per il dominio, insieme alle impostazioni desiderate per il gruppo di sicurezza e la sottorete. Quindi, l' SageMaker intelligenza artificiale crea un'interfaccia di rete nel tuo VPC che SageMaker Canvas utilizza per accedere agli endpoint VPC nel tuo VPC.

Assicurati di configurare uno o più gruppi di sicurezza nel tuo VPC con regole in entrata e in uscita che consentano il traffico TCP all'interno del gruppo di sicurezza. Ciò è necessario per la connettività tra l'applicazione Jupyter Server e le applicazioni Kernel Gateway. Devi consentire l'accesso ad almeno le porte dell'intervallo 8192-65535. Inoltre, assicurati di creare un gruppo di sicurezza distinto per ogni profilo utente e di aggiungere l'accesso in entrata dallo stesso gruppo di sicurezza. Non è consigliabile riutilizzare un gruppo di sicurezza a livello di dominio per i profili utente. Se il gruppo di sicurezza a livello di dominio consente l'accesso in entrata a se stesso, tutte le applicazioni del dominio hanno accesso a tutte le altre applicazioni del dominio. Tieni presente che le impostazioni del gruppo di sicurezza e della sottorete vengono configurate dopo aver completato l'onboarding del dominio.

Durante l'onboarding sul dominio, se scegli Solo Internet pubblico come tipo di accesso alla rete, il VPC è gestito dall' SageMaker IA e consente l'accesso a Internet.

Puoi modificare questo comportamento scegliendo solo VPC in modo che l' SageMaker IA invii tutto il traffico a un'interfaccia di rete creata dall' SageMaker IA nel VPC specificato. Quando scegli questa opzione, devi fornire le sottoreti, i gruppi di sicurezza e gli endpoint VPC necessari per comunicare con l' SageMaker API e SageMaker AI Runtime e vari AWS servizi, come Amazon S3 e CloudWatch Amazon, utilizzati da Canvas. SageMaker Tieni presente che puoi importare dati da bucket Amazon S3 solo se sono situati nella stessa Regione del tuo VPC.

Le seguenti procedure mostrano come configurare queste impostazioni per utilizzare SageMaker Canvas senza Internet.

Fase 1: onboarding verso il dominio Amazon SageMaker AI

Per inviare il traffico SageMaker Canvas a un'interfaccia di rete nel tuo VPC anziché su Internet, specifica il VPC che desideri utilizzare per l'onboarding sul dominio Amazon AI. SageMaker È inoltre necessario specificare almeno due sottoreti nel VPC che SageMaker l'IA può utilizzare. Scegli Configurazione standard ed esegui la seguente procedura per configurare la sezione Rete e archiviazione per il dominio.

  1. Seleziona il VPC desiderato.

  2. Scegli due o più sottoreti. Se non specifichi le sottoreti, l' SageMaker IA utilizza tutte le sottoreti nel VPC.

  3. Scegli uno o più Gruppi di sicurezza.

  4. Scegli Solo VPC per disattivare l'accesso diretto a Internet nel AWS VPC gestito in cui SageMaker è ospitato Canvas.

Dopo aver disabilitato l'accesso a Internet, completa la procedura di onboarding per configurare il tuo dominio. Per ulteriori informazioni sulle impostazioni VPC per il dominio Amazon SageMaker AI, consulta. Scelta di un Amazon VPC

Fase 2: configurazione di endpoint VPC e accesso

Nota

Per configurare Canvas nel tuo VPC, devi abilitare i nomi host DNS privati per i tuoi endpoint VPC. Per ulteriori informazioni, consulta Connect to SageMaker AI Through a VPC Interface Endpoint.

SageMaker Canvas accede ad altri AWS servizi solo per gestire e archiviare i dati per le sue funzionalità. Ad esempio, si connette ad Amazon Redshift se gli utenti accedono a un database Amazon Redshift. Può connettersi a un AWS servizio come Amazon Redshift utilizzando una connessione Internet o un endpoint VPC. Usa gli endpoint VPC se desideri configurare connessioni dal tuo VPC a AWS servizi che non utilizzano la rete Internet pubblica.

Un endpoint VPC crea una connessione privata a un AWS servizio che utilizza un percorso di rete isolato dalla rete Internet pubblica. Ad esempio, se configuri l'accesso ad Amazon S3 utilizzando un endpoint VPC dal tuo VPC, l'applicazione Canvas SageMaker può accedere ad Amazon S3 tramite l'interfaccia di rete del tuo VPC e quindi tramite l'endpoint VPC che si connette ad Amazon S3. La comunicazione tra SageMaker Canvas e Amazon S3 è privata.

Per ulteriori informazioni sulla configurazione degli endpoint VPC per il tuo VPC, consulta AWS PrivateLink. Se utilizzi modelli Amazon Bedrock in Canvas con un VPC, per ulteriori informazioni sul controllo dell'accesso ai tuoi dati, consulta Protect jobs using a VPC in Guida per l’utente di Amazon Bedrock.

Di seguito sono riportati gli endpoint VPC per ogni servizio che puoi utilizzare con Canvas: SageMaker

Servizio Endpoint Tipo di endpoint

AWS Application Auto Scaling

com.amazonaws. Region.scalabilità automatica delle applicazioni

Interfaccia

Amazon Athena

com.amazonaws. Region.atena

Interfaccia

Amazon SageMaker AI

com.amazonaws.it. Region.sagemaker.api

com.amazonaws. Region.sagemaker.runtime

com.amazonaws. Region.taccuino

Interfaccia

Assistente di data science di Amazon SageMaker AI

com.amazonaws. Region. sagemaker-data-science-assistant

Interfaccia

AWS Security Token Service

com.amazonaws. Region.sts

Interfaccia

Amazon Elastic Container Registry (Amazon ECR)

com.amazonaws.it. Region.ecr.api

com.amazonaws. Region.ecr.dkr

Interfaccia

Amazon Elastic Compute Cloud (Amazon EC2)

com.amazonaws. Region.ec2

Interfaccia

Amazon Simple Storage Service (Amazon S3)

com.amazonaws. Region.s3

Gateway

Amazon Redshift

com.amazonaws. Region.redshift-dati

Interfaccia

AWS Secrets Manager

com.amazonaws. Region. gestore dei segreti

Interfaccia

AWS Systems Manager

com.amazonaws.it. Region.sms

Interfaccia

Amazon CloudWatch

com.amazonaws. Region.monitoraggio

Interfaccia

CloudWatch Registri Amazon

com.amazonaws.it. Region.registri

Interfaccia

Amazon Forecast

com.amazonaws.it. Region.previsione

com.amazonaws.it. Region.query di previsione

Interfaccia

Amazon Textract

com.amazonaws. Region.tr estrarre

Interfaccia

Amazon Comprehend

com.amazonaws.it. Region. comprendere

Interfaccia

Amazon Rekognition

com.amazonaws. Region.riconoscimento

Interfaccia

AWS Glue

com.amazonaws. Region.colla

Interfaccia

AWS Application Auto Scaling

com.amazonaws. Region.scalabilità automatica delle applicazioni

Interfaccia

Amazon Relational Database Service (Amazon RDS)

com.amazonaws. Region.rds

Interfaccia

Amazon Bedrock (vedi nota dopo la tabella)

com.amazonaws. Region.bedrock-runtime

Interfaccia

Amazon Kendra

com.amazonaws.it. Region.kendra

Interfaccia

Amazon EMR Serverless

com.amazonaws. Region.emr senza server

Interfaccia

Amazon Q Developer (vedi nota dopo la tabella)

com.amazonaws. Regionq.

Interfaccia
Nota

L'endpoint VPC per sviluppatori Amazon Q è attualmente disponibile solo nella regione Stati Uniti orientali (Virginia settentrionale). Per connetterti ad esso da altre regioni, puoi scegliere una delle seguenti opzioni in base alle tue preferenze di sicurezza e infrastruttura:

  • Configura un gateway NAT. Configura un gateway NAT nella sottorete privata del tuo VPC per abilitare la connettività Internet per l'endpoint Q Developer. Per ulteriori informazioni, vedere Configurazione di un gateway NAT in una sottorete privata VPC.

  • Abilita l'accesso agli endpoint VPC in più regioni. Configura l'accesso agli endpoint VPC interregionali per Q Developer. Usa questa opzione per connetterti in modo sicuro senza richiedere l'accesso a Internet. Per ulteriori informazioni, consulta Configurazione dell'accesso agli endpoint VPC tra regioni.

Nota

Per Amazon Bedrock, il nome servizio endpoint dell’interfaccia com.amazonaws.Region.bedrock è obsoleto. Crea un nuovo endpoint VPC con il nome servizio elencato nella tabella precedente.

Inoltre, non è possibile ottimizzare i modelli di base di Canvas senza accesso a Internet. VPCs Questo perché Amazon Bedrock non supporta gli endpoint VPC per la personalizzazione dei modelli. APIs Per ulteriori informazioni sulla messa a punto dei modelli di base in Canvas, consulta. Ottimizza i modelli di base

È inoltre necessario aggiungere una policy per gli endpoint per Amazon S3 per AWS controllare l'accesso principale all'endpoint VPC. Per informazioni su come aggiornare la policy degli endpoint VPC, consulta Control access to VPC endpoints using endpoint policies.

Di seguito sono riportate due policy per gli endpoint VPC che è possibile utilizzare. Utilizza la prima politica se desideri concedere solo l'accesso alle funzionalità di base di Canvas, come l'importazione di dati e la creazione di modelli. Utilizza la seconda politica se desideri concedere l'accesso alle funzionalità di intelligenza artificiale generativa aggiuntive in Canvas.

Basic VPC endpoint policy

La seguente politica garantisce l'accesso necessario all'endpoint VPC per le operazioni di base in Canvas.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }
Generative AI VPC endpoint policy

La seguente politica garantisce l'accesso necessario all'endpoint VPC per le operazioni di base in Canvas, nonché per l'utilizzo di modelli di base AI generativi.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*",
                "arn:aws:s3:::*fmeval/datasets*",
                "arn:aws:s3:::*jumpstart-cache-prod*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }

Fase 3: concessione delle autorizzazioni IAM

L'utente SageMaker Canvas deve disporre delle AWS Identity and Access Management autorizzazioni necessarie per consentire la connessione agli endpoint VPC. Il ruolo IAM a cui concedi le autorizzazioni deve essere lo stesso che hai utilizzato per l'onboarding sul dominio Amazon SageMaker AI. Puoi collegare la AmazonSageMakerFullAccess policy gestita dall' SageMaker IA al ruolo IAM in modo che l'utente fornisca all'utente le autorizzazioni richieste. Se richiedi autorizzazioni IAM più restrittive e utilizzi invece policy personalizzate, concedi l'autorizzazione al ruolo dell'utente. ec2:DescribeVpcEndpointServices SageMaker Canvas richiede queste autorizzazioni per verificare l'esistenza degli endpoint VPC richiesti per i lavori di compilazione standard. Se rileva questi endpoint VPC, i processi Standard build vengono eseguiti per impostazione predefinita nel tuo VPC. In caso contrario, verranno eseguiti nel VPC AWS gestito predefinito.

Per ricevere istruzioni su come collegare la policy IAM AmazonSageMakerFullAccess al tuo ruolo IAM dell'utente, consulta Adding and removing IAM identity permissions.

Per concedere al tuo ruolo IAM dell'utente l'autorizzazione granulare ec2:DescribeVpcEndpointServices, utilizza la procedura seguente.

  1. Accedi AWS Management Console e apri la console IAM.

  2. Nel riquadro di navigazione, seleziona Ruoli.

  3. Nell'elenco, scegliere il numero del ruolo per il quale si desidera concedere le autorizzazioni.

  4. Scegli la scheda Autorizzazioni.

  5. Scegli Aggiungi autorizzazioni, quindi seleziona Crea policy inline.

  6. Scegli la scheda JSON e inserisci la seguente policy, che concede l'autorizzazione ec2:DescribeVpcEndpointServices:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "ec2:DescribeVpcEndpointServices",
            "Resource": "*"
        }
    ]
}

  7. Scegli Esamina la policy quindi scegli un Nome per la policy (per esempio, VPCEndpointPermissions).

  8. Scegli Create Policy (Crea policy).

Il ruolo IAM dell'utente dovrebbe ora disporre delle autorizzazioni per accedere agli endpoint VPC configurati nel tuo VPC.

(Facoltativo) Fase 4: sovrascrivere le impostazioni dei gruppi di sicurezza per utenti specifici

Se sei un amministratore, potresti desiderare che utenti diversi abbiano impostazioni VPC diverse o impostazioni VPC specifiche dell'utente. Quando sovrascrivi le impostazioni predefinite del gruppo di sicurezza VPC per un utente specifico, queste impostazioni vengono trasmesse all'applicazione SageMaker Canvas per quell'utente.

Puoi sovrascrivere i gruppi di sicurezza a cui un utente specifico ha accesso nel tuo VPC quando configuri un nuovo profilo utente in Studio Classic. Puoi utilizzare la chiamata CreateUserProfile SageMaker API (o create_user_profile con AWS CLI), quindi in, puoi specificare il nome per l'UserSettingsutente. SecurityGroups