Conectar-se a uma instância de caderno por meio de um endpoint de interface VPC - Amazon SageMaker
Conectar sua rede privada à sua VPCCrie uma política de VPC Endpoint para instâncias de notebook SageMakerRestringir o acesso a conexões de dentro da sua VPC

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conectar-se a uma instância de caderno por meio de um endpoint de interface VPC

Você pode conectar sua instância de caderno da VPC através de um endpoint de interface na sua nuvem privada virtual (VPC) em vez de conectar-se através da internet pública. Quando você usa um endpoint de VPC de interface, a comunicação entre sua VPC e a instância de caderno é realizada de forma completa e segura na rede da AWS .

SageMaker instâncias de notebook oferecem suporte a endpoints de interface da Amazon Virtual Private Cloud (Amazon VPC) que são alimentados por. AWS PrivateLink Cada endpoint da VCP é representado por uma ou mais interfaces de rede elástica com endereços IP privados em suas sub-redes da VPC.

nota

Antes de criar uma interface VPC endpoint para se conectar a uma instância de notebook, crie uma interface VPC endpoint para se conectar à API. SageMaker Dessa forma, quando os usuários chamarem CreatePresignedNotebookInstanceUrl para obter o URL para se conectarem à instância de caderno, essa chamada também será feita por meio do endpoint da interface da VPC. Para obter mais informações, consulte Conecte-se a SageMaker dentro da sua VPC.

Você pode criar um endpoint de interface para se conectar à instância do notebook com os comandos AWS Management Console ou AWS Command Line Interface (AWS CLI). Para obter instruções, consulte Criar um endpoint de interface. Certifique-se de criar um endpoint de interface para todas as sub-redes da VPC da qual você deseja se conectar à instância de caderno.

Ao criar o endpoint de interface, especifique aws.sagemaker.Region.notebook como o nome do serviço. Depois de criar um VPC endpoint, habilite o DNS privado para seu VPC endpoint. Qualquer pessoa que use a SageMaker API AWS CLI, o ou o console para se conectar à instância do notebook de dentro da VPC se conecta à instância do notebook por meio do VPC endpoint em vez da Internet pública.

SageMaker as instâncias de notebook oferecem suporte a endpoints de VPC em todos os lugares em que a Amazon VPC Regiões da AWS e a Amazon estão disponíveis. SageMaker

Para se conectar à instância do notebook por meio da VPC, você precisa se conectar a partir de uma instância que esteja dentro da VPC ou conectar sua rede privada à VPC usando um () ou. AWS Virtual Private Network AWS VPN AWS Direct Connect Para obter informações sobre isso AWS VPN, consulte Conexões VPN no Guia do usuário da Amazon Virtual Private Cloud. Para obter informações sobre isso AWS Direct Connect, consulte Criar uma conexão no Guia do usuário do AWS Direct Connect.

Você pode criar uma política para endpoints da Amazon VPC para instâncias de SageMaker notebooks para especificar o seguinte:

  • A entidade principal que pode executar ações.

  • As ações que podem ser executadas.

  • Os recursos sobre os quais as ações podem ser realizadas.

Para obter mais informações, consulte Controlar o acesso a serviços com endpoint da VPCs no Manual do usuário da Amazon VPC.

O exemplo a seguir de uma política de VPC endpoint especifica que todos os usuários com acesso ao endpoint têm permissão para acessar a instância de caderno chamada myNotebookInstance.

{
  "Statement": [
      {
          "Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance",
          "Principal": "*"
      }
  ]
}

O acesso a outras instâncias de caderno é negado.

Mesmo que você configure um endpoint de interface na seu VPC, os indivíduos fora dessa VPC podem se conectar à instâncias de caderno pela Internet.

Importante

Se você aplicar uma política do IAM semelhante a uma das seguintes, os usuários não poderão acessar as SageMaker APIs especificadas ou a instância do notebook por meio do console.

Para restringir o acesso apenas conexões feitas de dentro da sua VPC, crie uma política do AWS Identity and Access Management que restringe o acesso apenas às chamadas que vêm de dentro da sua VPC. Em seguida, adicione essa política a cada AWS Identity and Access Management usuário, grupo ou função usada para acessar a instância do notebook.

nota

Essa política permite conexões somente para chamadores em uma sub-rede na qual você criou um endpoint de interface.

{
    "Id": "notebook-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable Notebook Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedNotebookInstanceUrl",
                "sagemaker:DescribeNotebookInstance"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}

Se você quiser restringir o acesso à instância de caderno apenas para conexões feitas usando o endpoint de interface, use a chave de condição aws:SourceVpce em vez de aws:SourceVpc:.

{
    "Id": "notebook-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable Notebook Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedNotebookInstanceUrl",
                "sagemaker:DescribeNotebookInstance"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}

Esses dois exemplos de políticas pressupõem que você também criou um endpoint de interface para a SageMaker API. Para ter mais informações, consulte Conecte-se a SageMaker dentro da sua VPC. No segundo exemplo, um dos valores para aws:SourceVpce é o ID do endpoint de interface para a instância de caderno. O outro é o ID do endpoint da interface para a SageMaker API.

Os exemplos de políticas aqui incluem 
 DescribeNotebookInstance porque normalmente você chamaria DescribeNotebookInstance para ter certeza de que o NotebookInstanceStatus é InService antes de tentar conectar-se a ela. Por exemplo: .

aws sagemaker describe-notebook-instance \
                    --notebook-instance-name myNotebookInstance
                    
                    
{
   "NotebookInstanceArn":
   "arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance",
   "NotebookInstanceName": "myNotebookInstance",
   "NotebookInstanceStatus": "InService",
   "Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws",
   "InstanceType": "ml.m4.xlarge",
   "RoleArn":
   "arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456",
   "LastModifiedTime": 1540334777.501,
   "CreationTime": 1523050674.078,
   "DirectInternetAccess": "Disabled"
}
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance
                
                
{
   "AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=AuthToken
}
nota

O presigned-notebook-instance-url, AuthorizedUrl, gerado pode ser usado de qualquer lugar na internet.

Para ambas as chamadas, se você não habilitou nomes de host DNS privados para seu VPC endpoint ou se estiver usando uma versão do AWS SDK lançada antes de 13 de agosto de 2018, você deverá especificar a URL do endpoint na chamada. Por exemplo, a chamada para create-presigned-notebook-instance-url é:

aws sagemaker create-presigned-notebook-instance-url
    --notebook-instance-name myNotebookInstance --endpoint-url
    VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com