기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
인터넷을 통해 연결하는 대신 Amazon Virtual Private Cloud(Amazon VPC)에서 인터페이스 엔드포인트를 통해 Amazon SageMaker Studio 및 Amazon SageMaker Studio Classic에 연결할 수 있습니다. 인터페이스 VPC 엔드포인트(인터페이스 엔드포인트)를 사용하는 경우 VPC와 Studio 또는 Studio Classic 간의 통신은 AWS 네트워크 내에서 완전하고 안전하게 수행됩니다.
Studio 및 Studio Classic은 AWS PrivateLink에서 구동되는 인터페이스 엔드포인트를 지원합니다. 각 인터페이스 엔드포인트는 하나 이상의 탄력적 네트워크 인터페이스 및 VPC 서브넷의 프라이빗 IP 주소로 표현됩니다.
Studio 및 Studio Classic은 Amazon SageMaker AI
VPC 엔드포인트 생성
인터페이스 엔드포인트를 생성하여 AWS 콘솔 또는 AWS Command Line Interface ()를 사용하여 Studio 또는 Studio Classic에 연결할 수 있습니다AWS CLI. 자세한 내용은 인터페이스 엔드포인트 생성을 참조하세요. Studio 및 Studio Classic에 연결하려는 VPC에 있는 모든 서브넷에 대해 인터페이스 엔드포인트를 만들어야 합니다.
인터페이스 엔드포인트를 만들 때 엔드포인트의 보안 그룹이 Studio 및 Studio Classic과 연결된 보안 그룹으로부터의 HTTPS 트래픽에 대한 인바운드 액세스를 허용하는지 확인하세요. 자세한 정보는 VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하세요.
참고
Studio 및 Studio Classic에 연결하기 위한 인터페이스 엔드포인트를 만드는 것 외에도 Amazon SageMaker API에 연결할 인터페이스 엔드포인트를 만드세요. 사용자가 Studio 및 Studio Classic에 연결하기 위한 URL을 가져오기 위해 CreatePresignedDomainUrl을 직접 호출하면 해당 호출은 SageMaker API에 연결하는 데 사용되는 인터페이스 엔드포인트를 거칩니다.
인터페이스 엔드포인트를 만들 때 Studio 또는 Studio Classic에 대한 서비스 이름으로 aws.sagemaker.를 지정합니다. 인터페이스 엔드포인트를 생성한 후에는 엔드포인트에 대해 프라이빗 DNS를 사용하도록 설정합니다. SageMaker API AWS CLI, 또는 콘솔을 사용하여 VPC 내에서 Studio 또는 Studio Classic에 연결하는 경우 퍼블릭 인터넷 대신 인터페이스 엔드포인트를 통해 연결합니다. 또한 Studio 또는 Studio Classic이 VPC 엔드포인트 URL을 사용하지 않고 Region.studioapi.sagemaker.$region.amazonaws.com 엔드포인트를 사용하여 SageMaker API에 액세스할 수 있도록 Amazon VPC 엔드포인트에 대한 프라이빗 호스팅 영역이 있는 사용자 지정 DNS를 설정해야 합니다. 프라이빗 호스팅 영역 설정에 대한 지침은 프라이빗 호스팅 영역 작업을 참조하세요.
Studio 또는 Studio Classic에 대한 VPC 엔드포인트 정책 만들기
Studio 또는 Studio Classic에 연결하는 데 사용하는 인터페이스 VPC 엔드포인트에 Amazon VPC 엔드포인트 정책을 연결할 수 있습니다. 엔드포인트 정책은 Studio 또는 Studio Classic에 대한 액세스를 제어합니다. 다음을 지정할 수 있습니다.
-
작업을 수행할 수 있는 보안 주체.
-
수행할 수 있는 작업.
-
작업을 수행할 수 있는 리소스.
Studio 또는 Studio Classic와 함께 VPC 엔드포인트를 사용하려면 엔드포인트 정책이 KernelGateway 앱 유형에서의 CreateApp 작업을 허용해야 합니다. 이렇게 하면 VPC 엔드포인트를 통해 라우팅되는 트래픽이 CreateAppAPI를 호출할 수 있습니다. 다음 VPC 엔드포인트 정책 예제에서는 CreateApp작업을 허용하는 방법을 보여줍니다.
{
"Statement": [
{
"Action": "sagemaker:CreateApp",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*",
"Principal": "*"
}
]
}자세한 정보는 VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하세요.
VPC 엔드포인트 정책의 다음 예제에서는 엔드포인트에 액세스할 수 있는 모든 사용자가 지정된 도메인 ID로 SageMaker AI 도메인의 사용자 프로필에 액세스할 수 있도록 지정합니다. 다른 도메인에 대한 액세스는 거부됩니다.
{
"Statement": [
{
"Action": "sagemaker:CreatePresignedDomainUrl",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*",
"Principal": "*"
}
]
}VPC 내에서만 액세스 허용
VPC에 인터페이스 엔드포인트를 설정한 경우에도 VPC 외부의 사용자는 인터넷을 통해 Studio 또는 Studio Classic에 연결할 수 있습니다.
VPC 내에서 이루어진 연결에만 액세스를 허용하려면 AWS Identity and Access Management (IAM) 정책을 생성해야 합니다. 그런 다음 Studio 또는 Studio Classic에 액세스하는 데 사용되는 모든 사용자, 그룹 또는 역할에 해당 정책을 추가합니다. 이 기능은 인증을 위해 IAM 모드를 사용할 때만 지원되며 IAM Identity Center 모드에서는 지원되지 않습니다. 다음 예에서는 이러한 정책을 생성하는 방법을 보여줍니다.
중요
다음 예제 중 하나와 유사한 IAM 정책을 적용하는 경우 사용자는 SageMaker AI 콘솔을 통해 Studio 또는 Studio Classic 또는 지정된 SageMaker APIs에 액세스할 수 없습니다. Studio 또는 Studio Classic에 액세스하려면 사용자는 미리 서명된 URL을 사용하거나 SageMaker API를 직접 호출해야 합니다.
예 1: 인터페이스 엔드포인트의 서브넷 내에서만 연결 허용
이 정책으로는 인터페이스 엔드포인트를 생성한 서브넷의 호출자에만 연결할 수 있습니다.
{
"Id": "sagemaker-studio-example-1",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable SageMaker Studio Access",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}예 2: aws:sourceVpce를 사용하여 인터페이스 엔드포인트를 통한 연결만 허용
다음 정책은 aws:sourceVpce조건 키로 지정된 인터페이스 엔드포인트를 통해 이루어진 연결만 허용합니다. 예를 들어 첫 번째 인터페이스 엔드포인트는 SageMaker AI 콘솔을 통해 액세스를 허용할 수 있습니다. 두 번째 인터페이스 엔드포인트는 SageMaker API를 통한 액세스를 허용할 수 있습니다.
{
"Id": "sagemaker-studio-example-2",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable SageMaker Studio Access",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}이 정책에는 DescribeUserProfile작업이 포함됩니다. 일반적으로 도메인에 연결하기 전에 사용자 프로필의 상태가 InService인지 확인하기 위해 DescribeUserProfile를 호출합니다. 예시:
aws sagemaker describe-user-profile \ --domain-iddomain-id\ --user-profile-nameprofile-name
응답:
{
"DomainId": "domain-id",
"UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name",
"UserProfileName": "profile-name",
"HomeEfsFileSystemUid": "200001",
"Status": "InService",
"LastModifiedTime": 1605418785.555,
"CreationTime": 1605418477.297
}aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name
응답:
{
"AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken"
}두 호출 모두 2018년 8월 13일 이전에 릴리스된 AWS SDK 버전을 사용하는 경우 호출에 엔드포인트 URL을 지정해야 합니다. 예를 들어 다음 예에서는 create-presigned-domain-url에 대한 호출을 보여줍니다.
aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name\ --endpoint-urlvpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com
예 3: aws:SourceIp을 사용하여 IP 주소에서의 연결 허용
다음 정책은 aws:SourceIp조건 키를 사용하여 지정된 IP 주소 범위에서만 연결을 허용합니다.
{
"Id": "sagemaker-studio-example-3",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable SageMaker Studio Access",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}예 4: aws:VpcSourceIp를 사용하여 인터페이스 엔드포인트를 통한 IP 주소로부터의 연결 허용
인터페이스 엔드포인트를 통해 Studio 또는 Studio Classic에 액세스하는 경우 다음 정책에 표시된 대로 aws:VpcSourceIp 조건 키를 사용하여 인터페이스 엔드포인트를 만든 서브넷 내의 지정된 IP 주소 범위에서만 연결을 허용할 수 있습니다.
{
"Id": "sagemaker-studio-example-4",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable SageMaker Studio Access",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}