Configure o Amazon SageMaker Canvas em um VPC ambiente sem acesso à internet - Amazon SageMaker
Configure o Amazon SageMaker Canvas em um VPC ambiente sem acesso à internet

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configure o Amazon SageMaker Canvas em um VPC ambiente sem acesso à internet

O aplicativo Amazon SageMaker Canvas é executado em um contêiner em uma Amazon Virtual Private Cloud AWS gerenciada (VPC). Se você quiser controlar ainda mais o acesso aos seus recursos ou executar o SageMaker Canvas sem acesso público à Internet, você pode definir seu SageMaker domínio e suas VPC configurações da Amazon. Dentro da sua própria contaVPC, você pode definir configurações como grupos de segurança (firewalls virtuais que controlam o tráfego de entrada e saída das EC2 instâncias da Amazon) e sub-redes (intervalos de endereços IP no seu). VPC Para saber maisVPCs, consulte Como a Amazon VPC funciona.

Quando o aplicativo SageMaker Canvas está sendo executado no AWS gerenciadoVPC, ele pode interagir com outros AWS serviços usando uma conexão com a Internet ou por meio de VPC endpoints criados em um ambiente gerenciado pelo cliente VPC (sem acesso público à Internet). SageMaker Os aplicativos Canvas podem acessar esses VPC endpoints por meio de uma interface de rede criada pelo Studio Classic que fornece conectividade ao gerenciado pelo cliente. VPC O comportamento padrão do aplicativo SageMaker Canvas é ter acesso à internet. Ao usar uma conexão com a Internet, os contêineres dos trabalhos anteriores acessam recursos AWS pela Internet, como os buckets do Amazon S3, nos quais você armazena dados de treinamento e artefatos do modelo.

No entanto, se você tiver requisitos de segurança para controlar o acesso aos seus dados e contêineres de trabalho, recomendamos que você configure o SageMaker Canvas e o seu VPC para que seus dados e contêineres não sejam acessíveis pela Internet. SageMaker usa as VPC configurações que você especifica ao configurar seu domínio para o SageMaker Canvas.

Se você quiser configurar seu aplicativo SageMaker Canvas sem acesso à Internet, você deve definir suas VPC configurações ao se conectar ao SageMaker domínio da Amazon, configurar VPC endpoints e conceder as permissões necessárias AWS Identity and Access Management . Para obter informações sobre como configurar um VPC na Amazon SageMaker, consulteEscolha uma Amazon VPC. As seções a seguir descrevem como executar o SageMaker Canvas VPC sem acesso público à Internet.

Configure o Amazon SageMaker Canvas em um VPC ambiente sem acesso à internet

Você pode enviar tráfego do SageMaker Canvas para outros AWS serviços por meio do seu próprioVPC. Se o seu VPC não tiver acesso público à Internet e você tiver configurado seu domínio VPCapenas no modo, o SageMaker Canvas também não terá acesso público à Internet. Isso inclui todas as solicitações, como acesso a conjuntos de dados no Amazon S3 ou trabalhos de treinamento para compilações padrão, e as solicitações VPC passam por endpoints na VPC sua Internet, em vez da pública. Ao integrar o domínio eEscolha uma Amazon VPC, você pode especificar o seu próprio VPC como padrão VPC para o domínio, junto com as configurações de grupo de segurança e sub-rede desejadas. Em seguida, SageMaker cria uma interface de rede em sua VPC que o SageMaker Canvas usa para acessar VPC endpoints em seuVPC.

Certifique-se de configurar um ou mais grupos de segurança em seu VPC com regras de entrada e saída que permitam TCPtráfego dentro do grupo de segurança. Isso é necessário para a conectividade entre o aplicativo Jupyter Server e os aplicativos Kernel Gateway. Você deve permitir o acesso pelo menos às portas no intervalo 8192-65535. Além disso, certifique-se de criar um grupo de segurança distinto para cada perfil de usuário e adicionar acesso de entrada desse mesmo grupo de segurança. Não recomendamos reutilizar um grupo de segurança em nível de domínio para perfis de usuário. Se o grupo de segurança em nível de domínio permitir acesso de entrada a si mesmo, todos os aplicativos no domínio terão acesso a todos os outros aplicativos no domínio. Observe que as configurações do grupo de segurança e da sub-rede são definidas após a conclusão da integração no domínio.

Ao integrar o domínio, se você escolher Internet pública somente como o tipo de acesso à rede, ela VPC será SageMaker gerenciada e permitirá o acesso à Internet.

Você pode alterar esse comportamento escolhendo VPCsomente para SageMaker enviar todo o tráfego para uma interface de rede SageMaker criada de acordo com sua especificaçãoVPC. Ao escolher essa opção, você deve fornecer as sub-redes, os grupos de segurança e os VPC endpoints necessários para se comunicar com o SageMaker Runtime SageMaker API e com o Runtime, além de vários AWS serviços, como Amazon S3 e Amazon CloudWatch, que são usados pelo Canvas. SageMaker Observe que você só pode importar dados de buckets do Amazon S3 localizados na mesma região que a sua. VPC

Os procedimentos a seguir mostram como você pode definir essas configurações para usar o SageMaker Canvas sem a internet.

Etapa 1: Integrar ao domínio da Amazon SageMaker

Para enviar tráfego do SageMaker Canvas para uma interface de rede própria em VPC vez de pela Internet, especifique o VPC que você deseja usar ao fazer a integração ao SageMaker domínio da Amazon. Você também deve especificar pelo menos duas sub-redes na sua VPC que SageMaker possam ser usadas. Escolha Configuração padrão e siga o procedimento a seguir ao configurar a Seção de Rede e Armazenamento do domínio.

  1. Selecione o desejado VPC.

  2. Escolha duas ou mais sub-redes. Se você não especificar as sub-redes, SageMaker use todas as sub-redes no. VPC

  3. Escolha um ou mais Grupos de segurança.

  4. Escolha VPCSomente para desativar o acesso direto à Internet no VPC local AWS gerenciado onde o SageMaker Canvas está hospedado.

Depois de desativar o acesso à Internet, conclua o processo de integração para configurar seu domínio. Para obter mais informações sobre as VPC configurações do SageMaker domínio Amazon, consulteEscolha uma Amazon VPC.

Etapa 2: configurar VPC endpoints e acesso

nota

Para configurar o Canvas por conta própriaVPC, você deve habilitar DNS nomes de host privados para seus VPC endpoints. Para obter mais informações, consulte Connect to SageMaker Through a VPC Interface Endpoint.

SageMaker O Canvas só acessa outros AWS serviços para gerenciar e armazenar dados para sua funcionalidade. Por exemplo, ele se conecta ao Amazon Redshift se seus usuários acessarem um banco de dados do Amazon Redshift. Ele pode se conectar a um AWS serviço como o Amazon Redshift usando uma conexão com a Internet ou um VPC endpoint. Use VPC endpoints se quiser configurar conexões entre você e AWS serviços VPC que não usam a Internet pública.

Um VPC endpoint cria uma conexão privada com um AWS serviço que usa um caminho de rede isolado da Internet pública. Por exemplo, se você configurar o acesso ao Amazon S3 usando um VPC endpoint próprioVPC, o aplicativo SageMaker Canvas poderá acessar o Amazon S3 passando pela interface de rede em sua VPC e depois pelo VPC endpoint que se conecta ao Amazon S3. A comunicação entre o SageMaker Canvas e o Amazon S3 é privada.

Para obter mais informações sobre como configurar VPC endpoints para o seuVPC, consulte. AWS PrivateLink Se você estiver usando modelos do Amazon Bedrock no Canvas com umVPC, para obter mais informações sobre como controlar o acesso aos seus dados, consulte Proteger trabalhos usando um VPC no Guia do usuário do Amazon Bedrock.

A seguir estão os VPC endpoints para cada serviço que você pode usar com o SageMaker Canvas:

Serviço Endpoint Tipo de endpoint

AWS Application Auto Scaling

com.amazonaws.Region.escalonamento automático de aplicativos

Interface

Amazon Athena

com.amazonaws.Regionathena.

Interface

Amazon SageMaker

com.amazonaws.Region.sagemaker.api

com.amazonaws.Region.sagemaker.runtime

com.amazonaws.Region.caderno

Interface

AWS Security Token Service

com.amazonaws.Region.sts

Interface

Amazon Elastic Container Registry (AmazonECR)

com.amazonaws.Region.ecr.api

com.amazonaws.Region.ecr.dkr

Interface

Nuvem de computação elástica da Amazon (AmazonEC2)

com.amazonaws.Regionec2.

Interface

Amazon Simple Storage Service (Amazon S3)

com.amazonaws.Regions3.

Gateway

Amazon Redshift

com.amazonaws.Region.redshift - dados

Interface

AWS Secrets Manager

com.amazonaws.Regionsecretsmanager.

Interface

AWS Systems Manager

com.amazonaws.Regionssm.

Interface

Amazon CloudWatch

com.amazonaws.Region.monitoramento

Interface

CloudWatch Registros da Amazon

com.amazonaws.Region.registros

Interface

Amazon Forecast

com.amazonaws.Region.previsão

com.amazonaws.Region.consulta de previsão

Interface

Amazon Textract

com.amazonaws.Region.extrair

Interface

Amazon Comprehend

com.amazonaws.Region.compreender

Interface

Amazon Rekognition

com.amazonaws.Region.reconhecimento

Interface

AWS Glue

com.amazonaws.Region.cola

Interface

AWS Application Auto Scaling

com.amazonaws.Region.escalonamento automático de aplicativos

Interface

Amazon Relational Database Service (AmazonRDS)

com.amazonaws.Regionrds.

Interface

Amazon Bedrock

com.amazonaws.Region.bedrock-runtime

Interface

Amazon Kendra

com.amazonaws.Region.kendra

Interface

Amazon sem EMR servidor

com.amazonaws.Region.emr-sem servidor

Interface
nota

Para o Amazon Bedrock, o nome do serviço de endpoint da interface com.amazonaws.Region.bedrock foi descontinuado. Crie um novo VPC endpoint com o nome do serviço listado na tabela anterior.

Além disso, você não pode ajustar os modelos de base do Canvas VPCs sem acesso à Internet. Isso ocorre porque o Amazon Bedrock não oferece suporte a VPC endpoints para personalização de modelos. APIs Para saber mais sobre o ajuste fino dos modelos de base no Canvas, consulte. Aperfeiçoe os modelos de fundação

Você também deve adicionar uma política de endpoint para que o Amazon S3 AWS controle o acesso principal ao seu endpoint. VPC Para obter informações sobre como atualizar sua política de VPC endpoint, consulte Controlar o acesso aos VPC endpoints usando políticas de endpoint.

A seguir estão duas políticas de VPC endpoint que você pode usar. Use a primeira política se quiser conceder acesso apenas às funcionalidades básicas do Canvas, como importação de dados e criação de modelos. Use a segunda política se quiser conceder acesso aos recursos adicionais de IA geradora no Canvas.

Basic VPC endpoint policy

A política a seguir concede o acesso necessário ao seu VPC endpoint para operações básicas no Canvas.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }
Generative AI VPC endpoint policy

A política a seguir concede o acesso necessário ao seu VPC endpoint para operações básicas no Canvas, bem como para usar modelos básicos de IA generativos.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*",
                "arn:aws:s3:::*fmeval/datasets*",
                "arn:aws:s3:::*jumpstart-cache-prod*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }

Etapa 3: conceder IAM permissões

O usuário do SageMaker Canvas deve ter as AWS Identity and Access Management permissões necessárias para permitir a conexão com os VPC endpoints. A IAM função para a qual você concede permissões deve ser a mesma que você usou ao fazer a integração ao SageMaker domínio da Amazon. Você pode anexar a AmazonSageMakerFullAccess política SageMaker gerenciada à IAM função para que o usuário conceda ao usuário as permissões necessárias. Se você precisar de IAM permissões mais restritivas e usar políticas personalizadas em vez disso, conceda a ec2:DescribeVpcEndpointServices permissão à função do usuário. SageMaker O Canvas exige essas permissões para verificar a existência dos VPC endpoints necessários para trabalhos de compilação padrão. Se ele detectar esses VPC endpoints, os trabalhos de compilação padrão serão executados por padrão no seu. VPC Caso contrário, eles serão executados no AWS gerenciado padrãoVPC.

Para obter instruções sobre como vincular a AmazonSageMakerFullAccess IAM política à IAM função do usuário, consulte Adicionar e remover permissões de IAM identidade.

Para conceder ao IAM papel do seu usuário a ec2:DescribeVpcEndpointServices permissão granular, use o procedimento a seguir.

  1. Faça login no AWS Management Console e abra o IAMconsole.

  2. No painel de navegação, escolha Perfis.

  3. Na lista, escolha o nome do perfil para o qual você deseja conceder permissões.

  4. Escolha a aba Permissões.

  5. Escolha Adicionar permissões e depois Criar política em linha.

  6. Escolha a JSONguia e insira a seguinte política, que concede a ec2:DescribeVpcEndpointServices permissão:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "ec2:DescribeVpcEndpointServices",
            "Resource": "*"
        }
    ]
}

  7. Escolha Revisar política e, em seguida, insira um Nome para a política (por exemplo, VPCEndpointPermissions).

  8. Escolha Criar política.

A IAM função do usuário agora deve ter permissões para acessar os VPC endpoints configurados no seuVPC.

(Opcional) Etapa 4: substituir configurações de grupo de segurança para usuários específicos

Se você for administrador, talvez queira que usuários diferentes tenham VPC configurações diferentes ou VPC configurações específicas do usuário. Quando você substitui as configurações padrão VPC do grupo de segurança para um usuário específico, essas configurações são passadas para o aplicativo SageMaker Canvas desse usuário.

Você pode substituir os grupos de segurança aos quais um usuário específico tem acesso VPC ao configurar um novo perfil de usuário no Studio Classic. Você pode usar a CreateUserProfile SageMaker APIchamada (ou create_user_profile com o AWS CLI) e, em seguida, noUserSettings, você pode especificar o para o usuário. SecurityGroups