인터넷 액세스VPC가 없는 에서 Amazon SageMaker Canvas 구성 - Amazon SageMaker

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

인터넷 액세스VPC가 없는 에서 Amazon SageMaker Canvas 구성

Amazon SageMaker Canvas 애플리케이션은 AWS 관리형 Amazon Virtual Private Cloud()의 컨테이너에서 실행됩니다VPC. 리소스에 대한 액세스를 추가로 제어하거나 퍼블릭 인터넷 액세스 없이 SageMaker Canvas를 실행하려면 Amazon SageMaker 도메인 및 VPC 설정을 구성할 수 있습니다. 자체 내에서 보안 그룹(Amazon EC2 인스턴스의 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽) 및 서브넷(의 IP 주소 범위)과 같은 설정을 구성할 VPC수 있습니다VPC. 에 대한 자세한 내용은 Amazon VPC 작동 방식 섹션을 VPCs참조하세요.

SageMaker Canvas 애플리케이션이 AWS 관리형 에서 실행 중인 경우 인터넷 연결을 사용하거나 고객 관리형VPC(공용 인터넷 액세스 없음)에서 생성된 VPC 엔드포인트를 통해 다른 AWS 서비스와 상호 작용할 VPC수 있습니다. SageMaker Canvas 애플리케이션은 고객 관리형 에 대한 연결을 제공하는 Studio Classic 생성 네트워크 인터페이스를 통해 이러한 VPC 엔드포인트에 액세스할 수 있습니다VPC. SageMaker Canvas 애플리케이션의 기본 동작은 인터넷에 액세스하는 것입니다. 인터넷 연결을 사용할 때 이전 작업의 컨테이너는 훈련 데이터 및 모델 아티팩트를 저장하는 Amazon S3 버킷과 같은 AWS 리소스에 인터넷을 통해 액세스합니다.

그러나 데이터 및 작업 컨테이너에 대한 액세스를 제어하는 보안 요구 사항이 있는 경우 인터넷을 통해 데이터와 컨테이너에 액세스할 수 VPC 없도록 SageMaker Canvas와 를 구성하는 것이 좋습니다. 는 SageMaker Canvas에 도메인을 설정할 때 지정한 VPC 구성 설정을 SageMaker 사용합니다.

인터넷 액세스 없이 SageMaker Canvas 애플리케이션을 구성하려면 Amazon SageMaker 도메인 에 온보딩할 때 VPC 설정을 구성VPC하고 엔드포인트를 설정하고 필요한 AWS Identity and Access Management 권한을 부여해야 합니다. Amazon VPC에서 를 구성하는 방법에 대한 자세한 내용은 섹션을 SageMaker참조하세요Amazon 선택 VPC. 다음 섹션에서는 퍼블릭 인터넷 액세스 VPC 없이 에서 SageMaker Canvas를 실행하는 방법을 설명합니다.

인터넷 액세스VPC가 없는 에서 Amazon SageMaker Canvas 구성

자체 를 통해 SageMaker Canvas에서 다른 AWS 서비스로 트래픽을 전송할 수 있습니다VPC. 자신의 에 퍼블릭 인터넷 액세스 권한이 VPC 없고 VPC 전용 모드로 도메인을 설정한 경우 SageMaker Canvas에도 퍼블릭 인터넷 액세스 권한이 없습니다. 여기에는 Amazon S3의 데이터 세트 액세스 또는 표준 빌드에 대한 훈련 작업과 같은 모든 요청이 포함되며 요청은 퍼블릭 인터넷 VPC 대신 의 VPC 엔드포인트를 통과합니다. 도메인 및 에 온보딩할 때 원하는 보안 그룹 및 서브넷 설정과 함께 자체 VPC를 도메인의 기본VPC값으로 지정할 Amazon 선택 VPC수 있습니다. 그런 다음 SageMaker VPC SageMaker Canvas가 의 VPC 엔드포인트에 액세스하는 데 사용하는 네트워크 인터페이스를 에 생성합니다VPC.

보안 그룹 내의 트래픽을 허용하는 인바운드 및 아웃바운드 규칙을 VPC 사용하여 에 하나 이상의 보안 그룹을 설정해야 합니다. TCP 이는 Jupyter Server 애플리케이션과 Kernel Gateway 애플리케이션 간의 연결에 필요합니다. 8192-65535 범위 내 최소 포트에 대한 액세스를 허용해야 합니다. 또한 각 사용자 프로필에 대해 고유한 보안 그룹을 생성하고 동일한 보안 그룹의 인바운드 액세스를 추가해야 합니다. 사용자 프로필에 도메인 수준 보안 그룹을 재사용하지 않는 것이 좋습니다. 도메인 수준 보안 그룹이 자체에 대한 인바운드 액세스를 허용하는 경우 도메인의 모든 애플리케이션은 도메인의 다른 모든 애플리케이션에 액세스할 수 있습니다. 보안 그룹 및 서브넷 설정은 도메인에 대한 온보딩을 완료한 후 설정됩니다.

도메인에 온보딩할 때 네트워크 액세스 유형으로 퍼블릭 인터넷만 선택하면 VPC가 SageMaker 관리되고 인터넷 액세스를 허용합니다.

가 SageMaker 지정된 에서 를 SageMaker 생성하는 네트워크 인터페이스로 모든 트래픽을 전송하도록 VPC만 선택하여 이 동작을 변경할 수 있습니다VPC. 이 옵션을 선택하면 및 SageMaker 런타임과 SageMaker API 통신하는 데 필요한 서브넷, 보안 그룹 및 VPC 엔드포인트와 SageMaker Canvas에서 CloudWatch사용하는 Amazon S3 및 Amazon 와 같은 다양한 AWS 서비스를 제공해야 합니다. 와 동일한 리전에 있는 Amazon S3 버킷에서만 데이터를 가져올 수 있습니다VPC.

다음 절차에서는 인터넷 없이 SageMaker Canvas를 사용하도록 이러한 설정을 구성하는 방법을 보여줍니다.

1단계: Amazon SageMaker 도메인에 온보딩

인터넷 VPC 대신 SageMaker Canvas 트래픽을 자체 네트워크 인터페이스로 보내려면 Amazon SageMaker 도메인 VPC에 온보딩할 때 사용할 를 지정합니다. 또한 에서 사용할 SageMaker 수 VPC 있는 서브넷을 두 개 이상 지정해야 합니다. 도메인에 대한 네트워크 및 스토리지 섹션을 구성할 때 표준 설정을 선택하고 다음 절차를 수행합니다.

  1. 원하는 를 선택합니다VPC.

  2. 두 개 이상의 서브넷을 선택합니다. 서브넷을 지정하지 않으면 는 의 모든 서브넷을 SageMaker 사용합니다VPC.

  3. 하나 이상의 보안 그룹을 선택합니다.

  4. SageMaker Canvas가 호스팅VPC되는 AWS 관리형 에서 직접 인터넷 액세스를 끄려면VPC만 선택합니다.

인터넷 액세스를 비활성화한 후 온보딩 프로세스를 완료하여 도메인을 설정합니다. Amazon SageMaker 도메인 VPC 설정에 대한 자세한 내용은 섹션을 참조하세요Amazon 선택 VPC.

2단계: VPC 엔드포인트 및 액세스 구성

참고

자체 에서 Canvas를 구성하려면 VPC 엔드포인트에 프라이빗 DNS 호스트 이름을 활성화VPC해야 합니다. 자세한 내용은 VPC 인터페이스 엔드포인트를 SageMaker 통해 에 연결을 참조하세요.

SageMaker Canvas는 다른 AWS 서비스에만 액세스하여 해당 기능에 대한 데이터를 관리하고 저장합니다. 예를 들어, 사용자가 Amazon Redshift 데이터베이스에 액세스하는 경우 Amazon Redshift에 연결됩니다. 인터넷 연결 또는 VPC 엔드포인트를 사용하여 Amazon Redshift와 같은 AWS 서비스에 연결할 수 있습니다. 퍼블릭 인터넷을 사용하지 않는 AWS 서비스로 VPC 에서 연결을 설정하려면 VPC 엔드포인트를 사용합니다.

VPC 엔드포인트는 퍼블릭 인터넷에서 격리된 네트워킹 경로를 사용하는 AWS 서비스에 대한 프라이빗 연결을 생성합니다. 예를 들어 자체 의 VPC 엔드포인트를 사용하여 Amazon S3에 대한 액세스를 설정한 경우 VPC SageMaker Canvas 애플리케이션은 의 네트워크 인터페이스를 통과VPC한 다음 Amazon S3에 연결하는 VPC 엔드포인트를 통과하여 Amazon S3에 액세스할 수 있습니다. SageMaker Canvas와 Amazon S3 간의 통신은 비공개입니다.

에 대한 VPC 엔드포인트 구성에 대한 자세한 내용은 섹션을 VPC참조하세요AWS PrivateLink. Canvas에서 와 함께 Amazon Bedrock 모델을 사용하는 경우 데이터에 대한 액세스 제어에 대한 VPC자세한 내용은 Amazon Bedrock 사용 설명서의 를 사용하여 작업 보호를 VPC 참조하세요.

다음은 SageMaker Canvas와 함께 사용할 수 있는 각 서비스의 VPC 엔드포인트입니다.

Service 엔드포인트 [엔드포인트 유형]

AWS Application Auto Scaling

com.amazonaws.Region.application-autoscaling

인터페이스

Amazon Athena

com.amazonaws.Regionathena.

인터페이스

Amazon SageMaker

com.amazonaws.Region.sagemaker.api

com.amazonaws.Region.sagemaker.runtime

com.amazonaws.Region.notebook

인터페이스

AWS Security Token Service

com.amazonaws.Region.sts

인터페이스

Amazon Elastic Container Registry(AmazonECR)

com.amazonaws.Region.ecr.api

com.amazonaws.Region.ecr.dkr

인터페이스

Amazon Elastic Compute Cloud(AmazonEC2)

com.amazonaws.Region.ec2

인터페이스

Amazon Simple Storage Service(S3)

com.amazonaws.Region.s3

게이트웨이

Amazon Redshift

com.amazonaws.Region.redshift-data

인터페이스

AWS Secrets Manager

com.amazonaws.Region.secretsmanager

인터페이스

AWS Systems Manager

com.amazonaws.Region.ssm

인터페이스

Amazon CloudWatch

com.amazonaws.Region.모니터링

인터페이스

Amazon CloudWatch Logs

com.amazonaws.Region.logs

인터페이스

Amazon Forecast

com.amazonaws.Region.예측

com.amazonaws.Region.forecastquery

인터페이스

Amazon Textract

com.amazonaws.Region.textract

인터페이스

Amazon Comprehend

com.amazonaws.Region.comprehend

인터페이스

Amazon Rekognition

com.amazonaws.Region.rekognition

인터페이스

AWS Glue

com.amazonaws.Region.glue

인터페이스

AWS Application Auto Scaling

com.amazonaws.Region.application-autoscaling

인터페이스

Amazon Relational Database Service(AmazonRDS)

com.amazonaws.Region.rds

인터페이스

Amazon Bedrock

com.amazonaws.Region.bedrock-runtime

인터페이스

Amazon Kendra

com.amazonaws.Region.kendra

인터페이스

Amazon EMR Serverless

com.amazonaws.Region.emr-serverless

인터페이스

참고

Amazon Bedrock의 경우 인터페이스 엔드포인트 서비스 이름 com.amazonaws.Region.bedrock은 더 이상 사용되지 않습니다. 위 표에 나열된 서비스 이름으로 새 VPC 엔드포인트를 생성합니다.

또한 인터넷 액세스 없이 Canvas의 파운데이션 모델을 미세 조정할 수 VPCs 없습니다. 이는 Amazon Bedrock이 모델 사용자 지정을 위한 VPC 엔드포인트를 지원하지 않기 때문입니다APIs. Canvas의 파운데이션 모델을 미세 조정하는 방법에 대한 자세한 내용은 섹션을 참조하세요파운데이션 모델 미세 조정.

엔드포인트에 대한 AWS 보안 주체 액세스를 제어하려면 Amazon S3에 대한 VPC 엔드포인트 정책도 추가해야 합니다. VPC 엔드포인트 정책을 업데이트하는 방법에 대한 자세한 내용은 엔드포인트 정책을 사용하여 VPC 엔드포인트에 대한 액세스 제어를 참조하세요.

다음은 사용할 수 있는 두 가지 VPC 엔드포인트 정책입니다. 데이터 가져오기 및 모델 생성과 같은 Canvas의 기본 기능에 대한 액세스 권한만 부여하려면 첫 번째 정책을 사용합니다. Canvas의 추가 생성형 AI 기능에 대한 액세스 권한을 부여하려면 두 번째 정책을 사용합니다.

Basic VPC endpoint policy

다음 정책은 Canvas의 기본 작업에 필요한 VPC 엔드포인트에 대한 액세스 권한을 부여합니다.

{ "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }
Generative AI VPC endpoint policy

다음 정책은 생성형 AI 파운데이션 모델을 사용할 뿐만 아니라 Canvas의 기본 작업에 필요한 VPC 엔드포인트에 대한 액세스 권한을 부여합니다.

{ "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*fmeval/datasets*", "arn:aws:s3:::*jumpstart-cache-prod*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }

3단계: IAM 권한 부여

SageMaker Canvas 사용자에게는 VPC 엔드포인트에 대한 연결을 허용하는 데 필요한 AWS Identity and Access Management 권한이 있어야 합니다. 권한을 부여하는 IAM 역할은 Amazon SageMaker 도메인에 온보딩할 때 사용한 것과 같아야 합니다. 사용자에게 필요한 권한을 부여하기 IAM 위해 SageMaker 관리형 AmazonSageMakerFullAccess 정책을 역할에 연결할 수 있습니다. 보다 제한적인 IAM 권한이 필요하고 사용자 지정 정책을 대신 사용하는 경우 사용자의 역할에 ec2:DescribeVpcEndpointServices 권한을 부여합니다. SageMaker Canvas는 표준 빌드 작업에 필요한 VPC 엔드포인트의 존재를 확인하기 위해 이러한 권한이 필요합니다. 이러한 VPC 엔드포인트를 감지하면 에서 표준 빌드 작업이 기본적으로 실행됩니다VPC. 그렇지 않으면 기본 AWS 관리형 에서 실행됩니다VPC.

정책을 사용자 IAM 역할에 연결하는 방법에 대한 지침은 IAM 자격 증명 권한 추가 및 제거를 참조AmazonSageMakerFullAccessIAM하세요.

사용자의 IAM 역할에 세분화된 ec2:DescribeVpcEndpointServices 권한을 부여하려면 다음 절차를 사용합니다.

  1. 에 로그인 AWS Management Console 하고 IAM 콘솔 을 엽니다.

  2. 탐색 창에서 역할을 선택합니다.

  3. 목록에서 권한을 부여하려는 역할의 이름을 선택합니다.

  4. 권한 탭을 선택합니다.

  5. 권한 추가를 선택하고 인라인 정책 생성을 선택합니다.

  6. JSON 탭을 선택하고 ec2:DescribeVpcEndpointServices 권한을 부여하는 다음 정책을 입력합니다.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:DescribeVpcEndpointServices", "Resource": "*" } ] }
  7. 정책 검토를 선택하고 정책 이름(예: VPCEndpointPermissions)을 입력합니다.

  8. 정책 생성을 선택합니다.

이제 사용자의 IAM 역할에 에 구성된 VPC 엔드포인트에 액세스할 수 있는 권한이 있어야 합니다VPC.

(선택 사항) 4단계: 특정 사용자에 대한 보안 그룹 설정 재정의

관리자인 경우 서로 다른 사용자에게 서로 다른 VPC 설정 또는 사용자별 VPC 설정이 필요할 수 있습니다. 특정 사용자에 대한 기본 VPC의 보안 그룹 설정을 재정의하면 이러한 설정이 해당 사용자의 SageMaker Canvas 애플리케이션에 전달됩니다.

Studio Classic에서 새 사용자 프로필을 설정할 VPC 때 특정 사용자가 에서 액세스할 수 있는 보안 그룹을 재정의할 수 있습니다. CreateUserProfile SageMaker API 호출을 사용하거나(또는 에서 create_user_profileAWS CLI) 에서 사용자의 SecurityGroups를 지정할 UserSettings수 있습니다.