Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Connect a un'istanza Notebook tramite un endpoint di VPC interfaccia
Puoi connetterti all'istanza del tuo notebook VPC tramite un endpoint di interfaccia nel tuo Virtual Private Cloud (VPC) invece di connetterti tramite Internet pubblico. Quando si utilizza un endpoint di VPC interfaccia, la comunicazione tra l'utente VPC e l'istanza del notebook avviene in modo completo e sicuro all'interno della rete. AWS
SageMaker le istanze notebook supportano gli endpoint di interfaccia Amazon Virtual Private Cloud (AmazonVPC) alimentati da. AWS PrivateLink Ogni VPC endpoint è rappresentato da una o più interfacce di rete elastiche con indirizzi IP privati nelle sottoreti. VPC
Nota
Prima di creare un VPC endpoint di interfaccia per la connessione a un'istanza di notebook, crea un VPC endpoint di interfaccia a cui connetterti a. SageMaker API In questo modo, quando gli utenti chiamano CreatePresignedNotebookInstanceUrlper connettersi URL all'istanza del notebook, la chiamata passa anche attraverso l'VPCendpoint dell'interfaccia. Per informazioni, consultare Connect a SageMaker Within your VPC.
È possibile creare un endpoint di interfaccia per connettersi all'istanza del notebook con i comandi AWS Management Console o AWS Command Line Interface (AWS CLI). Per le istruzioni, consulta Creazione di un endpoint di interfaccia. Assicuratevi di creare un endpoint di interfaccia per tutte le sottoreti della rete VPC da cui desiderate connettervi all'istanza del notebook.
Quando crei l'endpoint dell'interfaccia, specifica aws.sagemaker. Region
.notebook come nome del servizio. Dopo aver creato un VPC endpoint, abilita private DNS per il tuo VPC endpoint. Chiunque utilizzi la SageMaker API AWS CLI, la o la console per connettersi all'istanza del notebook dall'interno VPC si connette all'istanza del notebook tramite l'VPCendpoint anziché tramite la rete Internet pubblica.
SageMaker le istanze notebook supportano gli VPC endpoint Regioni AWS ovunque SageMakersiano disponibili VPC sia Amazon che io.
Argomenti
Connect la tua rete privata alla tua VPC
Per connetterti all'istanza del tuo notebook tramite la tuaVPC, devi connetterti da un'istanza che si trova all'interno diVPC, oppure connettere la tua rete privata alla tua VPC utilizzando un AWS Virtual Private Network (AWS VPN) o AWS Direct Connect. Per informazioni su AWS VPN, consulta VPNConnections nella Amazon Virtual Private Cloud User Guide. Per informazioni su AWS Direct Connect, vedere Creazione di una connessione nella Guida per l'utente di AWS Direct Connect.
Crea una policy sugli VPC endpoint per le istanze di SageMaker Notebook
Puoi creare una policy per gli VPC endpoint Amazon per le istanze di SageMaker notebook per specificare quanto segue:
-
Il principale che può eseguire azioni.
-
Le azioni che possono essere eseguite.
-
Le risorse sui cui si possono eseguire azioni.
Per ulteriori informazioni, consulta Controlling Access to Services with VPC Endpoints nella Amazon VPC User Guide.
Il seguente esempio di policy sugli VPC endpoint specifica che tutti gli utenti che hanno accesso all'endpoint possono accedere all'istanza del notebook denominata. myNotebookInstance
{ "Statement": [ { "Action": "sagemaker:CreatePresignedNotebookInstanceUrl", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance", "Principal": "*" } ] }
L'accesso ad altre istanze del notebook è rifiutato.
Limita l'accesso alle connessioni dall'interno del tuo VPC
Anche se configuri un endpoint di interfaccia nel tuo computerVPC, le persone esterne VPC possono connettersi all'istanza del notebook tramite Internet.
Importante
Se applichi una IAM politica simile a una delle seguenti, gli utenti non possono accedere all'istanza specificata SageMaker APIs o all'istanza del notebook tramite la console.
Per limitare l'accesso solo alle connessioni effettuate dall'interno del tuo VPC dispositivo, crea una AWS Identity and Access Management politica che limiti l'accesso solo alle chiamate che provengono dall'interno del tuoVPC. Quindi aggiungi quella policy a ogni AWS Identity and Access Management utente, gruppo o ruolo utilizzato per accedere all'istanza del notebook.
Nota
Questa policy consente connessioni solo ai chiamanti all'interno di una sottorete in cui è stato creato un endpoint di interfaccia.
{ "Id": "notebook-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable Notebook Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedNotebookInstanceUrl", "sagemaker:DescribeNotebookInstance" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-111bbaaa" } } } ] }
Se desideri limitare l'accesso all'istanza del notebook alle sole connessioni effettuate utilizzando l'endpoint di interfaccia, utilizza la chiave di condizione aws:SourceVpce
anziché aws:SourceVpc:
.
{ "Id": "notebook-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable Notebook Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedNotebookInstanceUrl", "sagemaker:DescribeNotebookInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": [ "vpce-111bbccc", "vpce-111bbddd" ] } } } ] }
Entrambi questi esempi di policy presuppongono che sia stato creato anche un endpoint di interfaccia per. SageMaker API Per ulteriori informazioni, consulta Connect a SageMaker Within your VPC. Nel secondo esempio, uno dei valori per aws:SourceVpce
è l'ID dell'endpoint di interfaccia per l'istanza del notebook. L'altro è l'ID dell'endpoint dell'interfaccia per. SageMaker API
Gli esempi di policy qui riportati includono
DescribeNotebookInstance, perché in genere si chiama DescribeNotebookInstance
per assicurarsi che sia così InService
prima di provare a connettersi. NotebookInstanceStatus
Per esempio:
aws sagemaker describe-notebook-instance \ --notebook-instance-name myNotebookInstance { "NotebookInstanceArn": "arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance", "NotebookInstanceName": "myNotebookInstance", "NotebookInstanceStatus": "InService", "Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws", "InstanceType": "ml.m4.xlarge", "RoleArn": "arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456", "LastModifiedTime": 1540334777.501, "CreationTime": 1523050674.078, "DirectInternetAccess": "Disabled" } aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance { "AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=
AuthToken
}
Nota
presigned-notebook-instance-url
, AuthorizedUrl
, generato può essere utilizzato da qualsiasi punto di Internet.
Per entrambe queste chiamate, se non hai DNS abilitato i nomi host privati per il tuo VPC endpoint o se stai utilizzando una versione rilasciata prima del AWS SDK 13 agosto 2018, devi specificare l'endpoint URL nella chiamata. Ad esempio, la chiamata a create-presigned-notebook-instance-url
è:
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name
myNotebookInstance
--endpoint-urlVPC_Endpoint_ID
.api.sagemaker.Region
.vpce.amazonaws.com