Studio와 데이터 소스 간의 네트워크 액세스 구성(관리자용) - Amazon SageMaker
Studio와 데이터 스토어를 별도로 VPCs동일한 의 Studio 및 데이터 스토어 VPC퍼블릭 인터넷을 통한 Studio 및 데이터 스토어 통신

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Studio와 데이터 소스 간의 네트워크 액세스 구성(관리자용)

이 섹션에서는 관리자가 프라이빗 Amazon 내에서 또는 인터넷을 VPC 통해 Amazon SageMaker Studio와 Amazon Redshift 또는 Amazon Athena 간의 통신을 활성화하도록 네트워크를 구성하는 방법에 대한 정보를 제공합니다. 네트워킹 지침은 Studio 도메인과 데이터 스토어가 프라이빗 Amazon Virtual Private Cloud(VPC) 내에 배포되었는지 또는 인터넷을 통해 통신하는지에 따라 달라집니다.

기본적으로 Studio는 인터넷 액세스 VPC 로 AWS 관리되는 에서 실행됩니다. https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-and-internet-access.html#studio-notebooks-and-internet-access-default 인터넷 연결을 사용할 때 Studio는 인터넷을 통해 Amazon S3 버킷과 같은 AWS 리소스에 액세스합니다. 그러나 데이터 및 작업 컨테이너에 대한 액세스를 제어하는 보안 요구 사항이 있는 경우 인터넷을 통해 데이터와 컨테이너에 액세스할 수 없도록 Studio 및 데이터 스토어(Amazon Redshift 또는 Athena)를 구성하는 것이 좋습니다. 리소스에 대한 액세스를 제어하거나 퍼블릭 인터넷 액세스 없이 Studio를 실행하려면 Amazon SageMaker 도메인 에 온보딩할 때 VPC only 네트워크 액세스 유형을 지정할 수 있습니다. 이 시나리오에서 Studio는 프라이빗 VPC 엔드포인트 를 통해 다른 AWS 서비스와의 연결을 설정합니다. VPC only 모드에서 Studio를 구성하는 방법에 대한 자세한 내용은 의 외부 리소스에 Studio 연결을 참조하세요VPC.

참고

Snowflake에 연결하려면 Studio 도메인VPC의 에 인터넷 액세스 권한이 있어야 합니다.

처음 두 섹션에서는 퍼블릭 인터넷 액세스 VPCs 없이 의 Studio 도메인과 데이터 스토어 간의 통신을 보장하는 방법을 설명합니다. 마지막 섹션에서는 인터넷 연결을 사용하여 Studio와 데이터 스토어 간의 통신을 보장하는 방법을 다룹니다. 인터넷 액세스 없이 Studio와 데이터 스토어를 연결하기 전에 Amazon Simple Storage Service, Amazon Redshift 또는 Athena SageMaker, Amazon 및 (로깅 CloudWatch 및 AWS CloudTrail 모니터링)에 대한 엔드포인트를 설정해야 합니다.

Studio와 데이터 스토어는 별도로 배포됩니다. VPCs

Studio와 다른 에 배포된 데이터 스토어 간의 통신을 허용하려면VPCs:

  1. VPC 피어링 연결을 VPCs 통해 를 연결하는 것으로 시작합니다.

  2. Studio 서브넷과 데이터 스토어 서브넷 간의 양방향 네트워크 트래픽을 허용VPC하도록 각 의 라우팅 테이블을 업데이트합니다.

  3. 인바운드 및 아웃바운드 트래픽을 허용하도록 보안 그룹을 구성합니다.

구성 단계는 Studio와 데이터 스토어가 단일 AWS 계정 또는 다른 AWS 계정에 배포되는지 여부에 관계없이 동일합니다.

  1. VPC 피어링

    VPC 피어링 연결을 생성하여 두 VPCs (스튜디오와 데이터 스토어) 간의 네트워킹을 용이하게 합니다.

    1. Studio 계정의 VPC 대시보드에서 피어링 연결 을 선택한 다음 피어링 연결 생성 을 선택합니다.

    2. Studio를 데이터 스토어 VPC와 피어링하기 위한 요청을 생성합니다VPC. 다른 AWS 계정에서 피어링을 요청할 때 를 사용하여 피어링VPC할 다른 계정 선택에서 다른 계정을 선택합니다.

      교차 계정 피어링의 경우 관리자는 SQL 엔진 계정의 요청을 수락해야 합니다.

      프라이빗 서브넷을 피어링할 때는 VPC 피어링 연결 수준에서 프라이빗 IP DNS 확인을 활성화해야 합니다.

  2. 라우팅 테이블

    Studio와 데이터 스토어 VPC 서브넷 간의 네트워크 트래픽을 양방향으로 허용하도록 라우팅을 구성합니다.

    피어링 연결을 설정한 후 관리자(교차 계정 액세스를 위한 각 계정의)는 프라이빗 서브넷 라우팅 테이블에 경로를 추가하여 Studio와 데이터 스토어 VPCs의 서브넷 간에 트래픽을 라우팅할 수 있습니다. VPC VPC 대시보드에서 각 의 라우팅 테이블 섹션으로 이동하여 이러한 경로를 정의할 수 있습니다.

  3. 보안 그룹

    마지막으로 Studio 도메인의 보안 그룹은 아웃바운드 트래픽을 허용해야 VPC 하며, 데이터 스토어의 VPC 보안 그룹은 Studio의 보안 그룹에서 데이터 스토어 포트의 인바운드 트래픽을 허용해야 VPC 합니다.

Studio와 데이터 스토어는 동일한 에 배포됩니다. VPC

Studio와 데이터 스토어가 동일한 의 서로 다른 프라이빗 서브넷에 있는 경우 각 프라이빗 서브넷의 라우팅 테이블에 경로를 VPC추가합니다. 경로는 Studio 서브넷과 데이터 스토어 서브넷 간에 트래픽이 흐르도록 허용해야 합니다. VPC VPC 대시보드에서 각 의 라우팅 테이블 섹션으로 이동하여 이러한 경로를 정의할 수 있습니다. 동일한 서브넷과 동일한 서브넷에 StudioVPC와 데이터 스토어를 배포한 경우 트래픽을 라우팅할 필요가 없습니다.

라우팅 테이블 업데이트와 관계없이 Studio 도메인의 보안 그룹은 아웃바운드 트래픽을 허용VPC해야 하며, 데이터 스토어의 VPC 보안 그룹은 Studio의 보안 그룹에서 포트의 인바운드 트래픽을 허용VPC해야 합니다.

퍼블릭 인터넷을 통한 Studio 및 데이터 스토어 통신

기본적으로 Studio는 Studio 도메인과 VPC 연결된 의 인터넷 게이트웨이를 통해 인터넷과 통신할 수 있는 네트워크 인터페이스를 제공합니다. 퍼블릭 인터넷을 통해 데이터 스토어에 연결하도록 선택한 경우 데이터 스토어는 포트에서 인바운드 트래픽을 수락해야 합니다.

NAT 게이트웨이를 사용하여 여러 의 프라이빗 서브넷에 있는 인스턴스가 인터넷에 액세스할 때 인터넷 게이트웨이에서 제공하는 단일 퍼블릭 IP 주소를 공유VPCs하도록 허용해야 합니다.

참고

인바운드 트래픽에 대해 열린 각 포트는 잠재적 보안 위험을 나타냅니다. 취약점들을 최소한으로 줄일 수 있도록 사용자 지정 보안 그룹을 신중하게 검토하세요.