Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Connettiti ad Amazon SageMaker Studio e Studio Classic tramite un VPC endpoint di interfaccia
Puoi connetterti ad Amazon SageMaker Studio e Amazon SageMaker Studio Classic dal tuo Amazon Virtual Private Cloud (AmazonVPC) tramite un endpoint di interfaccia integrato nel tuo dispositivo VPC anziché tramite Internet. Quando utilizzi un endpoint di interfaccia (VPCendpoint di interfaccia), la comunicazione tra te VPC e Studio o Studio Classic avviene in modo completo e sicuro all'interno della rete. AWS
Studio e Studio Classic supportano gli endpoint di interfaccia basati su. AWS PrivateLink Ogni endpoint di interfaccia è rappresentato da una o più interfacce di rete elastiche con indirizzi IP privati nelle sottoreti. VPC
Studio e Studio Classic supportano gli endpoint di interfaccia in tutte le AWS regioni in cui VPC sono disponibili SageMaker sia Amazon
Argomenti
Creare un endpoint VPC
Puoi creare un endpoint di interfaccia per connetterti a Studio o Studio Classic con la AWS console o AWS Command Line Interface ()AWS CLI. Per le istruzioni, consulta Creazione di un endpoint di interfaccia. Assicurati di creare endpoint di interfaccia per tutte le sottoreti della rete VPC da cui desideri connetterti a Studio e Studio Classic.
Quando crei un endpoint di interfaccia, assicurati che i gruppi di sicurezza sull'endpoint consentano l'accesso in entrata al HTTPS traffico proveniente dai gruppi di sicurezza associati a Studio e Studio Classic. Per ulteriori informazioni, consulta Controllare l'accesso ai servizi con gli endpoint. VPC
Nota
Oltre a creare un endpoint di interfaccia per la connessione a Studio e Studio Classic, crea un endpoint di interfaccia per connetterti ad Amazon. SageMaker API Quando gli utenti chiamano CreatePresignedDomainUrlURLper connettersi a Studio e Studio Classic, la chiamata passa attraverso l'endpoint di interfaccia utilizzato per connettersi a. SageMaker API
Quando create l'endpoint di interfaccia, specificate aws.sagemaker. come nome del servizio Studio o Studio Classic. Dopo aver creato l'endpoint di interfaccia, abilita private DNS per il tuo endpoint. Quando ti connetti a Studio o Studio Classic dall'interno VPC utilizzando la SageMaker API, la o la console AWS CLI, ti connetti tramite l'endpoint di interfaccia anziché la rete Internet pubblica. È inoltre necessario configurare una zona personalizzata DNS con hosting privato per l'VPCendpoint Amazon in modo che Studio o Studio Classic possano accedervi SageMaker API utilizzando l'Region.studioapi.sagemaker.$region.amazonaws.com.rproxy.goskope.comendpoint anziché utilizzare l'VPCendpoint. URL Per istruzioni sulla configurazione di una zona ospitata privata, consulta Utilizzo delle zone ospitate private.
Crea una policy sugli VPC endpoint per Studio o Studio Classic
Puoi allegare una policy Amazon per gli VPC endpoint agli VPC endpoint di interfaccia che usi per connetterti a Studio o Studio Classic. La policy degli endpoint controlla l'accesso a Studio o Studio Classic. È possibile specificare le forme seguenti:
-
Il principale che può eseguire azioni.
-
Le azioni che possono essere eseguite.
-
Le risorse sui cui si possono eseguire azioni.
Per utilizzare un VPC endpoint con Studio o Studio Classic, la policy dell'endpoint deve consentire il CreateApp funzionamento sul tipo di app. KernelGateway Ciò consente al traffico indirizzato attraverso l'VPCendpoint di chiamare il. CreateApp API L'esempio seguente di policy VPC sugli endpoint mostra come consentire l'operazione. CreateApp
{ "Statement": [ { "Action": "sagemaker:CreateApp", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*", "Principal": "*" } ] }
Per ulteriori informazioni, vedere Controllo dell'accesso ai servizi con gli VPC endpoint.
Il seguente esempio di policy VPC sugli endpoint specifica che tutti gli utenti che hanno accesso all'endpoint possono accedere ai profili utente nel SageMaker dominio con l'ID di dominio specificato. L'accesso ad altri domini viene negato.
{ "Statement": [ { "Action": "sagemaker:CreatePresignedDomainUrl", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*", "Principal": "*" } ] }
Consenti l'accesso solo dall'interno del tuo VPC
Gli utenti esterni a voi VPC possono connettersi a Studio o Studio Classic tramite Internet anche se avete configurato un endpoint di interfaccia nel vostroVPC.
Per consentire l'accesso solo alle connessioni effettuate dall'interno del tuoVPC, crea una politica AWS Identity and Access Management (IAM) a tal fine. Aggiungi questa politica a ogni utente, gruppo o ruolo utilizzato per accedere a Studio o Studio Classic. Questa funzionalità è supportata solo quando si utilizza la IAM modalità di autenticazione e non è supportata nella modalità IAM Identity Center. I seguenti esempi illustrano come creare tali policy.
Importante
Se si applica un IAM criterio simile a uno degli esempi seguenti, gli utenti non possono accedere a Studio o Studio Classic o a quanto specificato SageMaker APIs tramite la SageMaker console. Per accedere a Studio o Studio Classic, gli utenti devono utilizzare un predefinito URL o chiamarli SageMaker APIs direttamente.
Esempio 1: consenti le connessioni solo all'interno della sottorete di un endpoint di interfaccia
La seguente policy consente connessioni solo ai chiamanti all'interno di una sottorete in cui è stato creato un endpoint di interfaccia.
{ "Id": "sagemaker-studio-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc":"vpc-111bbaaa"} } } ] }
Esempio 2: consenti le connessioni solo tramite gli endpoint di interfaccia utilizzando aws:sourceVpce
La seguente policy consente le connessioni solo a quelle effettuate tramite gli endpoint di interfaccia specificati dalla chiave di condizione aws:sourceVpce. Ad esempio, il primo endpoint di interfaccia potrebbe consentire l'accesso tramite la SageMaker console. Il secondo endpoint di interfaccia potrebbe consentire l'accesso tramite. SageMaker API
{ "Id": "sagemaker-studio-example-2", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": ["vpce-111bbccc","vpce-111bbddd"] } } } ] }
Questa policy include l'operazione DescribeUserProfile. In genere chiami DescribeUserProfile per assicurarti che lo stato del profilo utente sia InService prima di provare a connetterti al dominio. Per esempio:
aws sagemaker describe-user-profile \ --domain-iddomain-id\ --user-profile-nameprofile-name
Risposta:
{ "DomainId": "domain-id", "UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name", "UserProfileName": "profile-name", "HomeEfsFileSystemUid": "200001", "Status": "InService", "LastModifiedTime": 1605418785.555, "CreationTime": 1605418477.297 }
aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name
Risposta:
{ "AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken" }
Per entrambe queste chiamate, se si utilizza una versione rilasciata prima del AWS SDK 13 agosto 2018, è necessario specificare l'endpoint URL nella chiamata. Ad esempio, il seguente esempio mostra una chiamata a create-presigned-domain-url:
aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name\ --endpoint-urlvpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com
Esempio 3: consenti connessioni da indirizzi IP utilizzando aws:SourceIp
La seguente policy consente le connessioni solo dall'intervallo specificato di indirizzi IP utilizzando la chiave di condizione aws:SourceIp.
{ "Id": "sagemaker-studio-example-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "IpAddress": { "aws:SourceIp": ["192.0.2.0/24","203.0.113.0/24"] } } } ] }
Esempio 4: consenti le connessioni da indirizzi IP tramite un endpoint di interfaccia utilizzando aws:VpcSourceIp
Se si accede a Studio o Studio Classic tramite un endpoint di interfaccia, è possibile utilizzare il tasto aws:VpcSourceIp condition per consentire le connessioni solo dall'intervallo di indirizzi IP specificato all'interno della sottorete in cui è stato creato l'endpoint di interfaccia, come illustrato nella seguente politica:
{ "Id": "sagemaker-studio-example-4", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "IpAddress": { "aws:VpcSourceIp": ["192.0.2.0/24","203.0.113.0/24"] }, "StringEquals": { "aws:SourceVpc":"vpc-111bbaaa"} } } ] }
