Configurar o Amazon SageMaker Canvas em uma VPC sem acesso à Internet - SageMaker IA da Amazon
Configurar o Amazon SageMaker Canvas em uma VPC sem acesso à Internet

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar o Amazon SageMaker Canvas em uma VPC sem acesso à Internet

O aplicativo Amazon SageMaker Canvas é executado em um contêiner em uma Amazon Virtual Private Cloud (VPC) AWS gerenciada. Se você quiser controlar ainda mais o acesso aos seus recursos ou executar o SageMaker Canvas sem acesso público à Internet, você pode definir seu domínio Amazon SageMaker AI e as configurações de VPC. Em sua própria VPC, você pode definir configurações como grupos de segurança (firewalls virtuais que controlam o tráfego de entrada e saída das instâncias da EC2 Amazon) e sub-redes (intervalos de endereços IP em sua VPC). Para saber mais VPCs, consulte Como a Amazon VPC funciona.

Quando o aplicativo SageMaker Canvas está sendo executado na VPC AWS gerenciada, ele pode interagir com outros AWS serviços usando uma conexão com a Internet ou por meio de endpoints de VPC criados em uma VPC gerenciada pelo cliente (sem acesso público à Internet). SageMaker Os aplicativos Canvas podem acessar esses VPC endpoints por meio de uma interface de rede criada pelo Studio Classic que fornece conectividade à VPC gerenciada pelo cliente. O comportamento padrão do aplicativo SageMaker Canvas é ter acesso à internet. Ao usar uma conexão com a Internet, os contêineres dos trabalhos anteriores acessam recursos AWS pela Internet, como os buckets do Amazon S3, nos quais você armazena dados de treinamento e artefatos do modelo.

No entanto, se você tiver requisitos de segurança para controlar o acesso aos seus contêineres de dados e tarefas, recomendamos que você configure o SageMaker Canvas e sua VPC para que seus dados e contêineres não sejam acessíveis pela Internet. SageMaker A IA usa as configurações de VPC que você especifica ao configurar seu domínio para SageMaker o Canvas.

Se quiser configurar seu aplicativo SageMaker Canvas sem acesso à Internet, você deve definir suas configurações de VPC ao se integrar ao domínio Amazon SageMaker AI, configurar endpoints de VPC e conceder as permissões necessárias. AWS Identity and Access Management Para obter informações sobre como configurar uma VPC na SageMaker Amazon AI, consulte. Escolha uma Amazon VPC As seções a seguir descrevem como executar o SageMaker Canvas em uma VPC sem acesso público à Internet.

Configurar o Amazon SageMaker Canvas em uma VPC sem acesso à Internet

Você pode enviar tráfego do SageMaker Canvas para outros AWS serviços por meio de sua própria VPC. Se sua própria VPC não tiver acesso público à Internet e você tiver configurado seu domínio no modo somente VPC, o SageMaker Canvas também não terá acesso público à Internet. Isso inclui todas as solicitações, como acesso a conjuntos de dados no Amazon S3 ou trabalhos de treinamento para criações padrão, e as solicitações passam por endpoints da VPC em sua VPC em vez da Internet pública. Ao se integrar ao Domínio e Escolha uma Amazon VPC, você pode especificar sua própria VPC como a VPC padrão para o Domínio, junto com o grupo de segurança e as configurações de sub-rede desejadas. Em seguida, a SageMaker IA cria uma interface de rede em sua VPC que o SageMaker Canvas usa para acessar endpoints de VPC em sua VPC.

Certifique-se de configurar um ou mais grupos de segurança em sua VPC com regras de entrada e saída que permitam tráfego TCP dentro do grupo de segurança. Isso é necessário para a conectividade entre a aplicação Jupyter Server e as aplicações de gateway de kernel. Você deve permitir o acesso pelo menos às portas no intervalo 8192-65535. Crie um grupo de segurança distinto para cada perfil de usuário e adicione acesso de entrada desse mesmo grupo de segurança. Não recomendamos reutilizar um grupo de segurança no nível de domínio para perfis de usuário. Se o grupo de segurança no nível de domínio permitir acesso de entrada a si mesmo, todas as aplicações no domínio terão acesso a todas as outras aplicações no domínio. Observe que as configurações do grupo de segurança e da sub-rede são definidas após a conclusão da integração no Domínio.

Ao integrar o domínio, se você escolher Internet pública somente como o tipo de acesso à rede, a VPC SageMaker será gerenciada por IA e permitirá o acesso à Internet.

Você pode alterar esse comportamento escolhendo somente a VPC para que a SageMaker IA envie todo o tráfego para uma interface de rede criada pela SageMaker IA na sua VPC especificada. Ao escolher essa opção, você deve fornecer as sub-redes, os grupos de segurança e os endpoints VPC necessários para se comunicar com a SageMaker API e o SageMaker AI Runtime, além de vários AWS serviços, como Amazon S3 e CloudWatch Amazon, que são usados pelo Canvas. SageMaker Observe que você só pode importar dados de buckets do Amazon S3 localizados na mesma Região da sua VPC.

Os procedimentos a seguir mostram como você pode definir essas configurações para usar o SageMaker Canvas sem a internet.

Etapa 1: Integração ao domínio Amazon SageMaker AI

Para enviar tráfego do SageMaker Canvas para uma interface de rede em sua própria VPC em vez de pela Internet, especifique a VPC que você deseja usar ao fazer a integração ao domínio Amazon AI. SageMaker Você também deve especificar pelo menos duas sub-redes em sua VPC que SageMaker a IA possa usar. Escolha Configuração padrão e siga o procedimento a seguir ao configurar a Seção Rede e armazenamento do Domínio.

  1. Selecione a VPC desejada.

  2. Escolha duas ou mais sub-redes. Se você não especificar as sub-redes, a SageMaker IA usará todas as sub-redes na VPC.

  3. Escolha um ou mais Grupos de segurança.

  4. Escolha VPC Only para desativar o acesso direto à Internet na AWS VPC gerenciada em que o Canvas está SageMaker hospedado.

Depois de desativar o acesso à Internet, conclua o processo de integração para configurar seu Domínio. Para obter mais informações sobre as configurações de VPC para o domínio Amazon SageMaker AI, consulte. Escolha uma Amazon VPC

Etapa 2: configurar endpoints da VPC e acesso

nota

Para configurar o Canvas em sua própria VPC, você deve habilitar nomes de host DNS privados para seus endpoints da VPC. Para obter mais informações, consulte Conecte-se à SageMaker IA por meio de um endpoint de interface VPC.

SageMaker O Canvas só acessa outros AWS serviços para gerenciar e armazenar dados para sua funcionalidade. Por exemplo, ele se conecta ao Amazon Redshift se seus usuários acessarem um banco de dados do Amazon Redshift. Ele pode se conectar a um AWS serviço como o Amazon Redshift usando uma conexão com a Internet ou um VPC endpoint. Use VPC endpoints se quiser configurar conexões da sua VPC com AWS serviços que não usam a Internet pública.

Um VPC endpoint cria uma conexão privada com um AWS serviço que usa um caminho de rede isolado da Internet pública. Por exemplo, se você configurar o acesso ao Amazon S3 usando um endpoint VPC de sua própria VPC, o aplicativo Canvas SageMaker poderá acessar o Amazon S3 passando pela interface de rede em sua VPC e depois pelo endpoint VPC que se conecta ao Amazon S3. A comunicação entre o SageMaker Canvas e o Amazon S3 é privada.

Para obter mais informações sobre como configurar endpoints da VPC, consulte AWS PrivateLink. Se você estiver usando modelos do Amazon Bedrock no Canvas com uma VPC, para obter mais informações sobre como controlar o acesso aos seus dados, consulte Proteger trabalhos usando uma VPC no Guia do usuário do Amazon Bedrock.

A seguir estão os endpoints de VPC para cada serviço que você pode usar com o Canvas: SageMaker

Serviço Endpoint Tipo de endpoint

AWS Application Auto Scaling

com.amazonaws. Region.escalonamento automático de aplicativos

Interface

Amazon Athena

com.amazonaws. Region.atena

Interface

SageMaker IA da Amazon

com.amazonaws. Region.sagemaker.api

com.amazonaws. Region.sagemaker.runtime

com.amazonaws. Region.caderno

Interface

Assistente de ciência de dados com SageMaker IA da Amazon

com.amazonaws. Region. sagemaker-data-science-assistant

Interface

AWS Security Token Service

com.amazonaws. Region.sts

Interface

Amazon Elastic Container Registry (Amazon ECR)

com.amazonaws. Region.ecr.api

com.amazonaws. Region.ecr.dkr

Interface

Nuvem de computação elástica da Amazon (Amazon EC2)

com.amazonaws. Region.ec2

Interface

Amazon Simple Storage Service (Amazon S3)

com.amazonaws. Region.s3

Gateway

Amazon Redshift

com.amazonaws. Region.redshift - dados

Interface

AWS Secrets Manager

com.amazonaws. Region.gerente de segredos

Interface

AWS Systems Manager

com.amazonaws. Region.sms

Interface

Amazon CloudWatch

com.amazonaws. Region.monitoramento

Interface

CloudWatch Registros da Amazon

com.amazonaws. Region.registros

Interface

Amazon Forecast

com.amazonaws. Region.previsão

com.amazonaws. Region.consulta de previsão

Interface

Amazon Textract

com.amazonaws. Region.extrair

Interface

Amazon Comprehend

com.amazonaws. Region.compreender

Interface

Amazon Rekognition

com.amazonaws. Region.reconhecimento

Interface

AWS Glue

com.amazonaws. Region.cola

Interface

AWS Application Auto Scaling

com.amazonaws. Region.escalonamento automático de aplicativos

Interface

Amazon Relational Database Service (Amazon RDS)

com.amazonaws. Region.rds

Interface

Amazon Bedrock (veja a nota após a tabela)

com.amazonaws. Region.bedrock-runtime

Interface

Amazon Kendra

com.amazonaws. Region.kendra

Interface

Amazon EMR Sem Servidor

com.amazonaws. Region.emr-sem servidor

Interface

Amazon Q Developer (veja a nota após a tabela)

com.amazonaws. Region.q

Interface
nota

No momento, o endpoint VPC do Amazon Q Developer está disponível somente na região Leste dos EUA (Norte da Virgínia). Para se conectar a ele de outras regiões, você pode escolher uma das seguintes opções com base nas suas preferências de segurança e infraestrutura:

  • Configure um gateway NAT. Configure um gateway NAT na sub-rede privada da sua VPC para habilitar a conectividade com a Internet para o endpoint Q Developer. Para obter mais informações, consulte Como configurar um gateway NAT em uma sub-rede privada de VPC.

  • Habilite o acesso a endpoints VPC entre regiões. Configure o acesso a endpoints VPC entre regiões para Q Developer. Use essa opção para se conectar com segurança sem precisar de acesso à Internet. Para obter mais informações, consulte Como configurar o acesso a endpoints VPC entre regiões.

nota

Para o Amazon Bedrock, o nome do serviço de endpoint da interface com.amazonaws.Region.bedrock foi descontinuado. Crie um novo endpoint da VPC com o nome do serviço listado na tabela anterior.

Além disso, você não pode ajustar os modelos de base do Canvas VPCs sem acesso à Internet. Isso ocorre porque o Amazon Bedrock não oferece suporte a endpoints VPC para personalização de modelos. APIs Para saber mais sobre como ajustar os modelos de base no Canvas, consulte. Ajustar modelos de base

Você também deve adicionar uma política de endpoint para que o Amazon S3 AWS controle o acesso principal ao seu VPC endpoint. Para obter informações sobre como atualizar sua política de endpoint da VPC, consulte Controlar o acesso a endpoints da VPC usando políticas de endpoint.

A seguir estão duas políticas de endpoint da VPC que você pode usar. Use a primeira política se quiser conceder acesso apenas às funcionalidades básicas do Canvas, como importação de dados e criação de modelos. Use a segunda política se quiser conceder acesso aos atributos adicionais de IA generativa no Canvas.

Basic VPC endpoint policy

A política a seguir concede o acesso necessário ao seu endpoint da VPC para operações básicas no Canvas.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }
Generative AI VPC endpoint policy

A política a seguir concede o acesso necessário ao seu endpoint da VPC para operações básicas no Canvas, além de usar modelos básicos de IA generativa.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*",
                "arn:aws:s3:::*fmeval/datasets*",
                "arn:aws:s3:::*jumpstart-cache-prod*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }

Etapa 3: conceder permissões do IAM

O usuário do SageMaker Canvas deve ter as AWS Identity and Access Management permissões necessárias para permitir a conexão com os endpoints da VPC. A função do IAM para a qual você concede permissões deve ser a mesma usada na integração com o domínio Amazon SageMaker AI. Você pode anexar a AmazonSageMakerFullAccess política gerenciada de SageMaker IA à função do IAM para que o usuário conceda ao usuário as permissões necessárias. Se você precisar de permissões mais restritivas do IAM e usar políticas personalizadas, dê a ec2:DescribeVpcEndpointServices permissão ao papel do usuário. SageMaker O Canvas exige essas permissões para verificar a existência dos endpoints VPC necessários para trabalhos de construção padrão. Se ele detectar esses endpoints da VPC, os trabalhos de criação padrão serão executados por padrão em sua VPC. Caso contrário, eles serão executados na VPC AWS gerenciada padrão.

Para obter instruções sobre como anexar a política do IAM AmazonSageMakerFullAccess ao perfil do IAM do seu usuário, consulte Adicionar e remover permissões de identidade do IAM.

Para conceder ao perfil do IAM do seu usuário a permissão ec2:DescribeVpcEndpointServices granular, use o procedimento a seguir.

  1. Faça login no AWS Management Console e abra o console do IAM.

  2. No painel de navegação, escolha Perfis.

  3. Na lista, escolha o nome do perfil para o qual você deseja conceder permissões.

  4. Escolha a aba Permissões.

  5. Escolha Adicionar permissões e depois Criar política em linha.

  6. Escolha a guia JSON e insira a seguinte política, que concede a permissão ec2:DescribeVpcEndpointServices:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "ec2:DescribeVpcEndpointServices",
            "Resource": "*"
        }
    ]
}

  7. Escolha Revisar política e, em seguida, insira um Nome para a política (por exemplo, VPCEndpointPermissions).

  8. Escolha Criar política.

O perfil do IAM do usuário agora deve ter permissões para acessar os endpoints da VPC configurados na sua VPC.

(Opcional) Etapa 4: substituir configurações de grupo de segurança para usuários específicos

Se você for administrador, talvez queira que usuários diferentes tenham configurações de VPC diferentes ou configurações de VPC específicas do usuário. Quando você substitui as configurações padrão do grupo de segurança da VPC para um usuário específico, essas configurações são passadas para o aplicativo SageMaker Canvas desse usuário.

Você pode substituir os grupos de segurança aos quais um usuário específico tem acesso na sua VPC ao configurar um novo perfil de usuário no Studio. Você pode usar a chamada de CreateUserProfile SageMaker API (ou create_user_profile com o AWS CLI) e, em seguida, noUserSettings, você pode especificar o para o usuário. SecurityGroups