Connessione a un'istanza del notebook tramite un endpoint VPC di interfaccia - Amazon SageMaker AI
Connessione della rete privata al VPCCrea una policy sugli endpoint VPC per SageMaker le istanze AI NotebookLimitazione dell'accesso alle connessioni dal VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connessione a un'istanza del notebook tramite un endpoint VPC di interfaccia

Puoi connetterti all'istanza del notebook dal tuo VPC tramite un endpoint di interfaccia nel cloud privato virtuale (VPC) invece di connetterti tramite la rete Internet pubblica. Quando utilizzi un endpoint VPC di interfaccia, la comunicazione tra il tuo VPC e l'istanza del notebook avviene interamente e in modo sicuro all'interno della rete AWS .

SageMaker le istanze notebook supportano gli endpoint di interfaccia Amazon Virtual Private Cloud (Amazon VPC) alimentati da. AWS PrivateLink Ogni endpoint VPC è rappresentato da una o più interfacce di rete elastiche con indirizzi IP privati nelle sottoreti del tuo VPC.

Nota

Prima di creare un endpoint VPC di interfaccia per la connessione a un'istanza notebook, crea un endpoint VPC di interfaccia per connetterti all'API. SageMaker In questo modo, quando gli utenti chiamano 
CreatePresignedNotebookInstanceUrlper ottenere l'URL per la connessione all'istanza del notebook, quella chiamata passa anche attraverso l'interfaccia VPC endpoint. Per informazioni, consultare Connettiti all' SageMaker IA all'interno del tuo VPC.

È possibile creare un endpoint di interfaccia per connettersi all'istanza del notebook con i comandi AWS Management Console or AWS Command Line Interface ()AWS CLI. Per le istruzioni, consulta Creazione di un endpoint di interfaccia. Assicurati di creare un endpoint di interfaccia per tutte le sottoreti nel VPC da cui desideri eseguire la connessione all'istanza del notebook.

Quando crei l'endpoint dell'interfaccia, specifica aws.sagemaker. Region.notebook come nome del servizio. Dopo aver creato un endpoint VPC, abilita il DNS privato per il tuo endpoint VPC. Chiunque utilizzi l' SageMaker API AWS CLI, la o la console per connettersi all'istanza del notebook dall'interno del VPC si connette all'istanza del notebook tramite l'endpoint VPC anziché la rete Internet pubblica.

SageMaker le istanze notebook supportano gli endpoint VPC Regioni AWS ovunque siano disponibili sia Amazon SageMaker VPC che AI.

Per connetterti all'istanza del tuo notebook tramite il tuo VPC, devi connetterti da un'istanza che si trova all'interno del VPC o connettere la tua rete privata al tuo VPC usando un () o. AWS Virtual Private Network AWS VPN AWS Direct Connect Per informazioni su AWS VPN, consulta Connessioni VPN nella Guida per l'utente di Amazon Virtual Private Cloud. Per informazioni su AWS Direct Connect, vedere Creazione di una connessione nella Guida per l'utente di AWS Direct Connect.

Puoi creare una policy per gli endpoint Amazon VPC per le istanze di SageMaker notebook per specificare quanto segue:

  • Il principale che può eseguire azioni.

  • Le azioni che possono essere eseguite.

  • Le risorse sui cui si possono eseguire operazioni.

Per ulteriori informazioni, consultare Controllo degli accessi ai servizi con endpoint VPC nella Guida per l'utente di Amazon VPC.

L'esempio seguente di una policy di endpoint VPC specifica che tutti gli utenti che hanno accesso all'endpoint possono accedere all'istanza del notebook denominata myNotebookInstance.

{
  "Statement": [
      {
          "Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance",
          "Principal": "*"
      }
  ]
}

L'accesso ad altre istanze del notebook è rifiutato.

Anche se configuri un endpoint di interfaccia nel VPC, gli utenti esterni al VPC possono connettersi all'istanza del notebook su Internet.

Importante

Se applichi una policy IAM simile a una delle seguenti, gli utenti non possono accedere all'istanza specificata SageMaker APIs o all'istanza del notebook tramite la console.

Per limitare l'accesso alle sole connessioni effettuate dall'interno del VPC, crea una policy AWS Identity and Access Management che limita l'accesso alle sole chiamate provenienti dall'interno del VPC. Quindi aggiungi quella policy a ogni AWS Identity and Access Management utente, gruppo o ruolo utilizzato per accedere all'istanza del notebook.

Nota

Questa policy consente connessioni solo ai chiamanti all'interno di una sottorete in cui è stato creato un endpoint di interfaccia.

{
    "Id": "notebook-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable Notebook Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedNotebookInstanceUrl",
                "sagemaker:DescribeNotebookInstance"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}

Se desideri limitare l'accesso all'istanza del notebook alle sole connessioni effettuate utilizzando l'endpoint di interfaccia, utilizza la chiave di condizione aws:SourceVpce anziché aws:SourceVpc:.

{
    "Id": "notebook-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable Notebook Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedNotebookInstanceUrl",
                "sagemaker:DescribeNotebookInstance"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}

Entrambi questi esempi di policy presuppongono che sia stato creato anche un endpoint di interfaccia per l' SageMaker API. Per ulteriori informazioni, consulta Connettiti all' SageMaker IA all'interno del tuo VPC. Nel secondo esempio, uno dei valori per aws:SourceVpce è l'ID dell'endpoint di interfaccia per l'istanza del notebook. L'altro è l'ID dell'endpoint dell'interfaccia per l' SageMaker API.

Gli esempi di policy qui riportati includono 
 DescribeNotebookInstance, perché in genere si chiama DescribeNotebookInstance per assicurarsi che sia così InService prima di provare a connettersi. NotebookInstanceStatus Per esempio:

aws sagemaker describe-notebook-instance \
                    --notebook-instance-name myNotebookInstance
                    
                    
{
   "NotebookInstanceArn":
   "arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance",
   "NotebookInstanceName": "myNotebookInstance",
   "NotebookInstanceStatus": "InService",
   "Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws",
   "InstanceType": "ml.m4.xlarge",
   "RoleArn":
   "arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456",
   "LastModifiedTime": 1540334777.501,
   "CreationTime": 1523050674.078,
   "DirectInternetAccess": "Disabled"
}
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance
                
                
{
   "AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=AuthToken
}
Nota

presigned-notebook-instance-url, AuthorizedUrl, generato può essere utilizzato da qualsiasi punto di Internet.

Per entrambe queste chiamate, se non hai abilitato i nomi host DNS privati per il tuo endpoint VPC o se stai utilizzando una versione dell' AWS SDK rilasciata prima del 13 agosto 2018, devi specificare l'URL dell'endpoint nella chiamata. Ad esempio, la chiamata a create-presigned-notebook-instance-url è:

aws sagemaker create-presigned-notebook-instance-url
    --notebook-instance-name myNotebookInstance --endpoint-url
    VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com