Configura Amazon SageMaker Canvas VPC senza accesso a Internet - Amazon SageMaker
Configura Amazon SageMaker Canvas VPC senza accesso a Internet

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura Amazon SageMaker Canvas VPC senza accesso a Internet

L'applicazione Amazon SageMaker Canvas viene eseguita in un contenitore in un Amazon Virtual Private Cloud AWS gestito (VPC). Se desideri controllare ulteriormente l'accesso alle tue risorse o eseguire SageMaker Canvas senza accesso pubblico a Internet, puoi configurare il SageMaker dominio e VPC le impostazioni Amazon. All'interno delle tue impostazioniVPC, puoi configurare impostazioni come gruppi di sicurezza (firewall virtuali che controllano il traffico in entrata e in uscita dalle EC2 istanze di Amazon) e sottoreti (intervalli di indirizzi IP nel tuo account). VPC Per ulteriori informazioniVPCs, consulta Come VPC funziona Amazon.

Quando l'applicazione SageMaker Canvas è in esecuzione in AWS ambiente gestitoVPC, può interagire con altri AWS servizi utilizzando una connessione Internet o tramite VPC endpoint creati in un ambiente gestito dal cliente VPC (senza accesso pubblico a Internet). SageMaker Le applicazioni Canvas possono accedere a questi VPC endpoint tramite un'interfaccia di rete creata da Studio Classic che fornisce connettività ai dispositivi gestiti dal cliente. VPC Il comportamento predefinito dell'applicazione SageMaker Canvas prevede l'accesso a Internet. Quando si utilizza una connessione Internet, i container dei processi precedenti accedono a risorse AWS su Internet, come i bucket Amazon S3, in cui vengono archiviati i dati di addestramento e gli artefatti del modello.

Tuttavia, se hai requisiti di sicurezza per controllare l'accesso ai contenitori di dati e lavori, ti consigliamo di configurare SageMaker Canvas e il tuo VPC in modo che dati e contenitori non siano accessibili su Internet. SageMaker utilizza le impostazioni VPC di configurazione specificate durante la configurazione del dominio per SageMaker Canvas.

Se desideri configurare la tua applicazione SageMaker Canvas senza accesso a Internet, devi configurare VPC le impostazioni quando effettui l'onboarding nel SageMaker dominio Amazon, configurare gli VPC endpoint e concedere le autorizzazioni necessarie AWS Identity and Access Management . Per informazioni sulla configurazione di un VPC in Amazon SageMaker, consultaScegli un Amazon VPC. Le seguenti sezioni descrivono come eseguire SageMaker Canvas in un ambiente VPC senza accesso pubblico a Internet.

Configura Amazon SageMaker Canvas VPC senza accesso a Internet

Puoi inviare traffico da SageMaker Canvas ad altri AWS servizi tramite i tuoiVPC. Se il tuo VPC non dispone di un accesso pubblico a Internet e hai impostato il dominio in modalità VPCsolo, SageMaker Canvas non avrà nemmeno l'accesso pubblico a Internet. Ciò include tutte le richieste, come l'accesso ai set di dati in Amazon S3 o i lavori di formazione per le build standard, e le richieste passano VPC attraverso gli endpoint della rete Internet anziché VPC pubblica. Quando effettui l'onboarding su un dominioScegli un Amazon VPC, puoi specificare il tuo nome VPC come predefinito VPC per il dominio, insieme alle impostazioni desiderate per il gruppo di sicurezza e la sottorete. Quindi, SageMaker crea un'interfaccia di rete VPC che SageMaker Canvas utilizza per accedere agli VPC endpoint del tuo. VPC

Assicurati di configurare uno o più gruppi di sicurezza al tuo interno VPC con regole in entrata e in uscita che consentano il TCPtraffico all'interno del gruppo di sicurezza. Ciò è necessario per la connettività tra l'applicazione Jupyter Server e le applicazioni Kernel Gateway. Devi consentire l'accesso ad almeno le porte dell'intervallo 8192-65535. Inoltre, assicurati di creare un gruppo di sicurezza distinto per ogni profilo utente e di aggiungere l'accesso in entrata dallo stesso gruppo di sicurezza. Non è consigliabile riutilizzare un gruppo di sicurezza a livello di dominio per i profili utente. Se il gruppo di sicurezza a livello di dominio consente l'accesso in entrata a se stesso, tutte le applicazioni del dominio hanno accesso a tutte le altre applicazioni del dominio. Tieni presente che le impostazioni del gruppo di sicurezza e della sottorete vengono configurate dopo aver completato l'onboarding del dominio.

Durante l'onboarding su un dominio, se scegli Solo Internet pubblico come tipo di accesso alla rete, VPC viene SageMaker gestito e consente l'accesso a Internet.

È possibile modificare questo comportamento scegliendo VPCsolo in modo che tutto il traffico venga SageMaker inviato a un'interfaccia di rete SageMaker creata dall'utente. VPC Quando scegli questa opzione, devi fornire le sottoreti, i gruppi di sicurezza e gli VPC endpoint necessari per comunicare con SageMaker API and SageMaker Runtime e vari AWS servizi, come Amazon S3 e Amazon CloudWatch, utilizzati da Canvas. SageMaker Tieni presente che puoi importare dati solo da bucket Amazon S3 situati nella stessa regione della tua. VPC

Le seguenti procedure mostrano come configurare queste impostazioni per utilizzare SageMaker Canvas senza Internet.

Fase 1: onboarding verso il dominio Amazon SageMaker

Per inviare il traffico SageMaker Canvas a un'interfaccia di rete personalizzata VPC anziché su Internet, specifica quella che VPC desideri utilizzare per l'onboarding sul dominio Amazon SageMaker . È inoltre necessario specificare almeno due sottoreti utilizzabili. VPC SageMaker Scegli Configurazione standard ed esegui la seguente procedura per configurare la sezione Rete e archiviazione per il dominio.

  1. Seleziona quello che desideri. VPC

  2. Scegli due o più sottoreti. Se non si specificano le sottoreti, SageMaker utilizza tutte le sottoreti di. VPC

  3. Scegli uno o più Gruppi di sicurezza.

  4. Scegli VPCSolo per disattivare l'accesso diretto a Internet nel gestore in VPC cui AWS SageMaker è ospitato Canvas.

Dopo aver disabilitato l'accesso a Internet, completa la procedura di onboarding per configurare il tuo dominio. Per ulteriori informazioni sulle VPC impostazioni per il SageMaker dominio Amazon, consultaScegli un Amazon VPC.

Fase 2: Configurazione VPC degli endpoint e dell'accesso

Nota

Per configurare Canvas autonomamenteVPC, devi abilitare i DNS nomi host privati per i tuoi VPC endpoint. Per ulteriori informazioni, vedere Connect to SageMaker Through a VPC Interface Endpoint.

SageMaker Canvas accede ad altri AWS servizi solo per gestire e archiviare i dati per le sue funzionalità. Ad esempio, si connette ad Amazon Redshift se gli utenti accedono a un database Amazon Redshift. Può connettersi a un AWS servizio come Amazon Redshift utilizzando una connessione Internet o un VPC endpoint. Usa VPC gli endpoint se desideri configurare connessioni dai tuoi AWS servizi VPC a servizi che non utilizzano la rete Internet pubblica.

Un VPC endpoint crea una connessione privata a un AWS servizio che utilizza un percorso di rete isolato dalla rete Internet pubblica. Ad esempio, se configuri l'accesso ad Amazon S3 utilizzando un VPC endpoint personaleVPC, l'applicazione SageMaker Canvas può accedere ad Amazon S3 tramite l'interfaccia di rete del tuo dispositivo VPC e quindi tramite l'VPCendpoint che si connette ad Amazon S3. La comunicazione tra SageMaker Canvas e Amazon S3 è privata.

Per ulteriori informazioni sulla configurazione degli VPC endpoint per i tuoiVPC, consulta. AWS PrivateLink Se utilizzi modelli Amazon Bedrock in Canvas con unVPC, per ulteriori informazioni sul controllo dell'accesso ai tuoi dati, consulta Proteggi i lavori utilizzando un VPC nella Amazon Bedrock User Guide.

Di seguito sono riportati gli VPC endpoint per ogni servizio che puoi utilizzare con Canvas: SageMaker

Servizio Endpoint Tipo di endpoint

AWS Application Auto Scaling

com.amazonaws.Region.scalabilità automatica delle applicazioni

Interfaccia

Amazon Athena

com.amazonaws.Regionathena.

Interfaccia

Amazon SageMaker

com.amazonaws.Region.sagemaker.api

com.amazonaws.Region.sagemaker.runtime

com.amazonaws.Region.taccuino

Interfaccia

AWS Security Token Service

com.amazonaws.it.Region.sts

Interfaccia

Registro Amazon Elastic Container (AmazonECR)

com.amazonaws.Region.ecr.api

com.amazonaws.Region.ecr.dkr

Interfaccia

Amazon Elastic Compute Cloud (AmazonEC2)

com.amazonaws.Region.ec2

Interfaccia

Amazon Simple Storage Service (Amazon S3)

com.amazonaws.it.Region.s3

Gateway

Amazon Redshift

com.amazonaws.Region.redshift-dati

Interfaccia

AWS Secrets Manager

com.amazonaws.Region. gestore dei segreti

Interfaccia

AWS Systems Manager

com.amazonaws.it.Region.ssm

Interfaccia

Amazon CloudWatch

com.amazonaws.Region.monitoraggio

Interfaccia

CloudWatch Registri Amazon

com.amazonaws.it.Region.registri

Interfaccia

Amazon Forecast

com.amazonaws.it.Region.previsione

com.amazonaws.it.Region.query di previsione

Interfaccia

Amazon Textract

com.amazonaws.Region.tr estrarre

Interfaccia

Amazon Comprehend

com.amazonaws.it.Region. comprendere

Interfaccia

Amazon Rekognition

com.amazonaws.Region.riconoscimento

Interfaccia

AWS Glue

com.amazonaws.Region.colla

Interfaccia

AWS Application Auto Scaling

com.amazonaws.Region.scalabilità automatica delle applicazioni

Interfaccia

Servizio di Database Relazionale Amazon (AmazonRDS)

com.amazonaws.Region.rds

Interfaccia

Amazon Bedrock

com.amazonaws.it.Region.bedrock-runtime

Interfaccia

Amazon Kendra

com.amazonaws.it.Region.kendra

Interfaccia

Amazon EMR Serverless

com.amazonaws.Region.emr senza server

Interfaccia
Nota

Per Amazon Bedrock, il nome servizio endpoint dell’interfaccia com.amazonaws.Region.bedrock è obsoleto. Crea un nuovo VPC endpoint con il nome del servizio elencato nella tabella precedente.

Inoltre, non è possibile ottimizzare i modelli di base di Canvas senza accesso VPCs a Internet. Questo perché Amazon Bedrock non supporta gli VPC endpoint per la personalizzazione dei modelli. APIs Per ulteriori informazioni sulla messa a punto dei modelli di base in Canvas, consulta. Ottimizza i modelli di base

È inoltre necessario aggiungere una policy per gli endpoint per Amazon S3 per AWS controllare l'accesso principale all'endpoint. VPC Per informazioni su come aggiornare la policy degli VPC endpoint, consulta Controllare l'accesso agli endpoint utilizzando le policy degli VPC endpoint.

Di seguito sono riportate due policy per gli VPC endpoint che puoi utilizzare. Utilizza la prima politica se desideri concedere l'accesso solo alle funzionalità di base di Canvas, come l'importazione di dati e la creazione di modelli. Utilizza la seconda politica se desideri concedere l'accesso alle funzionalità di intelligenza artificiale generativa aggiuntive in Canvas.

Basic VPC endpoint policy

La seguente politica garantisce l'accesso necessario all'VPCendpoint per le operazioni di base in Canvas.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }
Generative AI VPC endpoint policy

La seguente politica garantisce l'accesso necessario all'VPCendpoint per le operazioni di base in Canvas, oltre all'utilizzo di modelli di base generativi di intelligenza artificiale.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*",
                "arn:aws:s3:::*fmeval/datasets*",
                "arn:aws:s3:::*jumpstart-cache-prod*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }

Passaggio 3: concedere le autorizzazioni IAM

L'utente SageMaker Canvas deve disporre delle AWS Identity and Access Management autorizzazioni necessarie per consentire la connessione agli endpoint. VPC Il IAM ruolo a cui concedi le autorizzazioni deve essere lo stesso che hai usato per l'onboarding sul dominio Amazon. SageMaker Puoi allegare la AmazonSageMakerFullAccess politica SageMaker gestita al IAM ruolo in modo che l'utente fornisca all'utente le autorizzazioni richieste. Se richiedi IAM autorizzazioni più restrittive e utilizzi invece politiche personalizzate, concedi l'autorizzazione al ruolo dell'utente. ec2:DescribeVpcEndpointServices SageMaker Canvas richiede queste autorizzazioni per verificare l'esistenza degli VPC endpoint richiesti per i lavori di compilazione standard. Se rileva questi VPC endpoint, i processi di compilazione standard vengono eseguiti per impostazione predefinita nel tuo. VPC In caso contrario, verranno eseguiti nella versione gestita di default AWS . VPC

Per istruzioni su come associare la AmazonSageMakerFullAccess IAM policy al IAM ruolo dell'utente, consulta Aggiungere e rimuovere le autorizzazioni di IAM identità.

Per concedere al IAM ruolo dell'utente l'ec2:DescribeVpcEndpointServicesautorizzazione granulare, utilizza la procedura seguente.

  1. Accedi a AWS Management Console e apri la IAMconsole.

  2. Nel riquadro di navigazione, seleziona Ruoli.

  3. Nell'elenco, scegliere il numero del ruolo per il quale si desidera concedere le autorizzazioni.

  4. Scegli la scheda Autorizzazioni.

  5. Scegli Aggiungi autorizzazioni, quindi seleziona Crea policy inline.

  6. Scegli la JSONscheda e inserisci la seguente politica, che concede l'ec2:DescribeVpcEndpointServicesautorizzazione:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "ec2:DescribeVpcEndpointServices",
            "Resource": "*"
        }
    ]
}

  7. Scegli Esamina la policy quindi scegli un Nome per la policy (per esempio, VPCEndpointPermissions).

  8. Scegli Create Policy (Crea policy).

Il IAM ruolo dell'utente dovrebbe ora avere le autorizzazioni per accedere agli VPC endpoint configurati nel tuo. VPC

(Facoltativo) Fase 4: sovrascrivere le impostazioni dei gruppi di sicurezza per utenti specifici

Se sei un amministratore, potresti volere che utenti diversi abbiano VPC impostazioni diverse o impostazioni specifiche dell'utenteVPC. Quando sovrascrivi le impostazioni predefinite VPC del gruppo di sicurezza per un utente specifico, queste impostazioni vengono passate all'applicazione SageMaker Canvas per quell'utente.

Puoi sovrascrivere i gruppi di sicurezza a cui un utente specifico ha accesso nel tuo VPC quando configuri un nuovo profilo utente in Studio Classic. È possibile utilizzare la CreateUserProfile SageMaker APIchiamata (o create_user_profile con AWS CLI), quindi in, è possibile specificare il UserSettings nome dell'utente. SecurityGroups