인터넷 액세스 없이 VPC에서 Amazon SageMaker Canvas 구성

Amazon SageMaker Canvas 애플리케이션은 AWS 관리형 Amazon Virtual Private Cloud(VPC)의 컨테이너에서 실행됩니다. 리소스에 대한 액세스를 추가로 제어하거나 퍼블릭 인터넷 액세스 없이 SageMaker Canvas를 실행하려면 Amazon SageMaker AI 도메인 및 VPC 설정을 구성할 수 있습니다. 자체 VPC 내에서 보안 그룹(Amazon EC2 인스턴스의 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽) 및 서브넷(VPC의 IP 주소 범위)과 같은 설정을 구성할 수 있습니다. VPC에 대해 자세히 알아보려면 Amazon VPC의 작동 방식을 참조하세요.

SageMaker Canvas 애플리케이션이 AWS 관리형 VPC에서 실행 중인 경우 인터넷 연결을 사용하거나 고객 관리형 VPC에서 생성된 VPC 엔드포인트를 통해 다른 AWS 서비스와 상호 작용할 수 있습니다(퍼블릭 인터넷 액세스 없음). SageMaker Canvas 애플리케이션은 고객 관리형 VPC에 대한 연결을 제공하는 Studio Classic에서 만든 네트워크 인터페이스를 통해 이러한 VPC 엔드포인트에 액세스할 수 있습니다. SageMaker Canvas 애플리케이션의 기본 동작은 인터넷에 액세스하는 것입니다. 인터넷 연결을 사용할 때 이전 작업의 컨테이너는 훈련 데이터 및 모델 아티팩트를 저장하는 Amazon S3 버킷과 같은 AWS 리소스에 인터넷을 통해 액세스합니다.

하지만 데이터 및 작업 컨테이너에 대한 액세스를 제어하기 위한 보안 요구 사항이 있는 경우 SageMaker Canvas 및 VPC를 구성하여 인터넷을 통해 데이터 및 컨테이너에 액세스할 수 없도록 하는 것이 좋습니다. SageMaker AI는 SageMaker Canvas에 대한 도메인을 설정할 때 지정한 VPC 구성 설정을 사용합니다.

인터넷 액세스 없이 SageMaker Canvas 애플리케이션을 구성하려면 Amazon SageMaker AI 도메인에 온보딩할 때 VPC 설정을 구성하고 VPC 엔드포인트를 설정하고 필요한 AWS Identity and Access Management 권한을 부여해야 합니다. Amazon SageMaker AI에서 VPC를 구성하는 방법에 대한 자세한 내용은 섹션을 참조하세요Amazon VPC 선택. 다음 섹션에서는 퍼블릭 인터넷 액세스 없이 VPC에서 SageMaker Canvas를 실행하는 방법을 설명합니다.

인터넷 액세스 없이 VPC에서 Amazon SageMaker Canvas 구성

자체 VPC를 통해 SageMaker Canvas에서 다른 AWS 서비스로 트래픽을 전송할 수 있습니다. 자체 VPC에 퍼블릭 인터넷 액세스가 없고 도메인을 VPC 전용 모드로 설정한 경우 SageMaker Canvas에는 퍼블릭 인터넷 액세스 권한도 없습니다. 여기에는 Amazon S3의 데이터 집합에 액세스하거나 표준 빌드를 위한 훈련 작업과 같은 모든 요청이 포함되며, 요청은 퍼블릭 인터넷 대신 VPC의 VPC 엔드포인트를 통과합니다. 도메인 및 Amazon VPC 선택에 온보딩할 때 원하는 보안 그룹 및 서브넷 설정과 함께 자체 VPC를 도메인의 기본 VPC로 지정할 수 있습니다. 그런 다음 SageMaker AI는 SageMaker Canvas가 VPC의 VPC 엔드포인트에 액세스하는 데 사용하는 네트워크 인터페이스를 VPC에 생성합니다.

보안 그룹 내에서 TCP 트래픽을 허용하는 인바운드 및 아웃바운드 규칙을 사용하여 VPC에 하나 이상의 보안 그룹을 설정해야 합니다. 이는 Jupyter Server 애플리케이션과 Kernel Gateway 애플리케이션 간의 연결에 필요합니다. 8192-65535 범위 내 최소 포트에 대한 액세스를 허용해야 합니다. 또한 각 사용자 프로필에 대해 고유한 보안 그룹을 만들고 동일한 보안 그룹의 인바운드 액세스를 추가하세요. 사용자 프로필에 도메인 수준 보안 그룹을 재사용하지 않는 것이 좋습니다. 도메인 수준 보안 그룹이 자체로의 인바운드 액세스를 허용하면 도메인의 모든 애플리케이션이 도메인의 다른 모든 애플리케이션에 액세스할 수 있게 됩니다. 참고로 보안 그룹과 서브넷 설정은 도메인 온보딩을 완료한 후에 설정됩니다.

도메인에 온보딩할 때 네트워크 액세스 유형으로 퍼블릭 인터넷만 선택하면 VPC는 SageMaker AI 관리형이며 인터넷 액세스를 허용합니다.

SageMaker AI가 지정된 VPC에서 생성하는 네트워크 인터페이스로 모든 트래픽을 전송하도록 VPC만 선택하여이 동작을 변경할 수 있습니다. SageMaker 이 옵션을 선택하면 SageMaker API 및 SageMaker AI 런타임과 통신하는 데 필요한 서브넷, 보안 그룹 및 VPC 엔드포인트와 SageMaker Canvas에서 사용하는 Amazon S3 및 Amazon CloudWatch와 같은 다양한 AWS 서비스를 제공해야 합니다. SageMaker VPC와 동일한 지역에 위치한 Amazon S3 버킷에서만 데이터를 가져올 수 있다는 점에 유의하세요.

다음 절차는 인터넷 없이 SageMaker Canvas를 사용하도록 이러한 설정을 구성하는 방법을 보여줍니다.

1단계: Amazon SageMaker AI 도메인에 온보딩

인터넷 대신 SageMaker Canvas 트래픽을 자체 VPC의 네트워크 인터페이스로 전송하려면 Amazon SageMaker AI 도메인에 온보딩할 때 사용할 VPC를 지정합니다. 또한 SageMaker AI가 사용할 수 있는 서브넷을 VPC에 두 개 이상 지정해야 합니다. 표준 설정을 선택하고 도메인의 네트워크 및 스토리지 섹션을 구성할 때 다음 절차를 수행하세요.

인터넷 액세스를 비활성화한 후 온보딩 프로세스를 완료하여 도메인을 설정합니다. Amazon SageMaker AI 도메인의 VPC 설정에 대한 자세한 내용은 섹션을 참조하세요Amazon VPC 선택.

2단계: VPC 엔드포인트 및 액세스 구성

SageMaker Canvas는 다른 AWS 서비스에만 액세스하여 기능을 위한 데이터를 관리하고 저장합니다. 예를 들어, 사용자가 Amazon Redshift 데이터베이스에 액세스하는 경우 Amazon Redshift에 연결됩니다. 인터넷 연결 또는 VPC 엔드포인트를 사용하여 Amazon Redshift와 같은 AWS 서비스에 연결할 수 있습니다. 퍼블릭 인터넷을 사용하지 않는 AWS 서비스에 대한 VPC 연결을 설정하려면 VPC 엔드포인트를 사용합니다.

VPC 엔드포인트는 퍼블릭 인터넷에서 격리된 네트워킹 경로를 사용하는 AWS 서비스에 대한 프라이빗 연결을 생성합니다. 예를 들어 자체 VPC의 VPC 엔드포인트를 사용하여 Amazon S3에 대한 액세스를 설정하는 경우, SageMaker Canvas 애플리케이션은 VPC의 네트워크 인터페이스를 거쳐 Amazon S3에 연결되는 VPC 엔드포인트를 통해 Amazon S3에 액세스할 수 있습니다. SageMaker Canvas와 Amazon S3 간의 통신은 비공개입니다.

VPC 엔드포인트 구성에 대한 자세한 내용은 AWS PrivateLink를 참조하세요. VPC를 사용하여 Canvas에서 Amazon Bedrock 모델을 사용하는 경우 데이터 액세스 제어에 대한 자세한 내용은 Amazon Bedrock 사용자 안내서의 VPC를 사용하여 작업 보호를 참조하세요.

다음은 SageMaker Canvas와 함께 사용할 수 있는 각 서비스의 VPC 엔드포인트입니다.

또한 VPC 엔드포인트에 대한 AWS 보안 주체 액세스를 제어하려면 Amazon S3에 대한 엔드포인트 정책을 추가해야 합니다. VPC 엔드포인트 정책을 업데이트하는 방법에 대한 자세한 내용은 엔드포인트 정책을 사용하여 VPC 엔드포인트에 대한 액세스 제어를 참조하세요.

다음은 사용할 수 있는 두 가지 VPC 엔드포인트 정책입니다. 데이터 가져오기 및 모델 만들기와 같은 Canvas의 기본 기능에 대한 액세스 권한만 부여하려면 첫 번째 정책을 사용합니다. Canvas의 추가 생성형 AI 기능에 대한 액세스 권한을 부여하려면 두 번째 정책을 사용합니다.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }

3단계: IAM 권한 부여

SageMaker Canvas 사용자에게는 VPC 엔드포인트에 대한 연결을 허용하는 데 필요한 AWS Identity and Access Management 권한이 있어야 합니다. 권한을 부여하는 IAM 역할은 Amazon SageMaker AI 도메인에 온보딩할 때 사용한 역할과 동일해야 합니다. 사용자에게 필요한 권한을 부여하기 위해 SageMaker AI 관리형 AmazonSageMakerFullAccess 정책을 IAM 역할에 연결할 수 있습니다. 보다 제한적인 IAM 권한이 필요하고 대신 사용자 지정 정책을 사용하는 경우 사용자 역할에 ec2:DescribeVpcEndpointServices권한을 부여하세요. SageMaker Canvas에는 표준 빌드 작업에 필요한 VPC 엔드포인트가 있는지 확인하기 위해 이러한 권한이 필요합니다. 이러한 VPC 엔드포인트를 탐지하면 VPC에서 표준 빌드 작업이 기본적으로 실행됩니다. 그렇지 않으면 기본 AWS 관리형 VPC에서 실행됩니다.

AmazonSageMakerFullAccess IAM 정책을 사용자의 IAM 역할에 연결하는 방법에 대한 지침은 IAM ID 권한 추가 및 제거를 참조하세요.

사용자의 IAM 역할에 세분화된 ec2:DescribeVpcEndpointServices권한을 부여하려면 다음 절차를 사용하세요.

이제 사용자의 IAM 역할에는 VPC에 구성된 VPC 엔드포인트에 액세스할 수 있는 권한이 있어야 합니다.

(선택 사항) 4단계: 특정 사용자에 대한 보안 그룹 설정 재정의

관리자인 경우 사용자마다 다른 VPC 설정 또는 사용자별 VPC 설정을 사용하고자 할 수 있습니다. 특정 사용자에 대한 기본 VPC의 보안 그룹 설정을 재정의하면 이러한 설정이 해당 사용자의 SageMaker Canvas 애플리케이션으로 전달됩니다.

Studio Classic에서 새 사용자 프로필을 설정할 때 VPC에서 특정 사용자가 액세스할 수 있는 보안 그룹을 재정의할 수 있습니다. CreateUserProfile SageMaker API 직접 호출(또는 AWS CLI과 함께 create_user_profile)을 사용한 다음 UserSettings에서 사용자의 SecurityGroups를 지정할 수 있습니다.