Conecte o Amazon SageMaker Studio em uma VPC a recursos externos - SageMaker IA da Amazon
Comunicação padrão com a internetComunicação da VPC only com a internet

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conecte o Amazon SageMaker Studio em uma VPC a recursos externos

Importante

Em 30 de novembro de 2023, a experiência anterior do Amazon SageMaker Studio agora se chama Amazon SageMaker Studio Classic. A seção a seguir é específica ao uso da experiência atualizada do Studio. Para obter informações sobre como usar a aplicação do Studio Classic, consulte Amazon SageMaker Studio Clássico.

O tópico a seguir fornece informações sobre como conectar o Amazon SageMaker Studio em uma VPC a recursos externos.

Comunicação padrão com a internet

Por padrão, o Amazon SageMaker Studio fornece uma interface de rede que permite a comunicação com a Internet por meio de uma VPC gerenciada pela SageMaker IA. O tráfego para AWS serviços como o Amazon S3 CloudWatch passa por um gateway de internet, assim como o tráfego que acessa a API de IA e SageMaker o tempo de SageMaker execução da IA. O tráfego entre o domínio e seu volume do Amazon EFS passa pela VPC que você especificou quando se integrou ao domínio ou chamou a API. CreateDomain

Comunicação da VPC only com a internet

Para impedir que a SageMaker IA forneça acesso à Internet ao Studio, você pode desativar o acesso à Internet especificando o tipo de acesso à VPC only rede ao se integrar ao Studio ou chamar a CreateDomainAPI. Como resultado, você não poderá executar o Studio, a menos que sua VPC tenha um endpoint de interface para a SageMaker API e o tempo de execução, ou um gateway NAT com acesso à Internet, e seus grupos de segurança permitam conexões de saída.

nota

O tipo de acesso à rede pode ser alterado após a criação do domínio usando o parâmetro --app-network-access-type do comando update-domain.

Requisitos para usar o modo VPC only

Quando você escolher VpcOnly, siga estas etapas:

  1. Você deve usar somente sub-redes privadas. Você não pode usar sub-redes públicas no modo VpcOnly.

  2. Certifique-se de que suas sub-redes tenham o número exigido de endereços IP necessários. O número esperado de endereços IP necessários por usuário pode variar de acordo com o caso de uso. Recomendamos entre 2 e 4 endereços IP por usuário. A capacidade total do endereço IP de um domínio é a soma dos endereços IP disponíveis para cada sub-rede fornecida quando o domínio é criado. Certifique-se de que o uso estimado do endereço IP não exceda a capacidade compatível com o número de sub-redes que você fornece. Além disso, o uso de sub-redes distribuídas em várias zonas de disponibilidade pode ajudar na disponibilidade do endereço IP. Para obter mais informações, consulte Dimensionamento de VPC e sub-rede para. IPv4

    nota

    Você pode configurar somente sub-redes com uma VPC de locação padrão em que sua instância é executada em hardware compartilhado. Para obter mais informações sobre o atributo de locação para VPCs, consulte Instâncias dedicadas.

  3. Atenção

    Ao usar o modo VpcOnly, você possui parcialmente a configuração de rede do domínio. Recomendamos a melhor prática de segurança de aplicar permissões de privilégio mínimo ao acesso de entrada e saída que as regras do grupo de segurança fornecem. Configurações de regras de entrada excessivamente permissivas podem permitir que usuários com acesso à VPC interajam com as aplicações de outros perfis de usuário sem autenticação.

    Configure um ou mais grupos de segurança com regras de entrada e saída que permitam o seguinte tráfego:

    Crie um grupo de segurança distinto para cada perfil de usuário e adicione acesso de entrada desse mesmo grupo de segurança. Não recomendamos reutilizar um grupo de segurança no nível de domínio para perfis de usuário. Se o grupo de segurança no nível de domínio permitir acesso de entrada a si mesmo, todas as aplicações no domínio terão acesso a todas as outras aplicações no domínio.

  4. Se você quiser permitir o acesso à Internet, deverá usar um gateway NAT com acesso à Internet, por exemplo, por meio de um gateway da Internet.

  5. Se você não quiser permitir o acesso à Internet, crie uma interface VPC endpoints (AWS PrivateLink) para permitir que o Studio acesse os seguintes serviços com os nomes de serviço correspondentes. Você também deve associar os grupos de segurança da sua VPC a esses endpoints.

    • SageMaker API:com.amazonaws.region.sagemaker.api.

    • SageMaker Tempo de execução da IA:com.amazonaws.region.sagemaker.runtime. Isso é necessário para executar cadernos Studio e para treinar e hospedar modelos.

    • Amazon S3: com.amazonaws.region.s3.

    • SageMaker Projetos:com.amazonaws.region.servicecatalog.

    • SageMaker Estúdio:aws.sagemaker.region.studio.

    • Quaisquer outros AWS serviços de que você precise.

    Se você usa o SDK do SageMaker Python para executar trabalhos de treinamento remoto, você também deve criar os seguintes endpoints da Amazon VPC.

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch:com.amazonaws.region.logs. Isso é necessário para permitir que o SageMaker Python SDK obtenha o status do trabalho de treinamento remoto de. Amazon CloudWatch

  6. Se estiver usando o domínio no modo VpcOnly de uma rede on-premises, estabeleça conectividade privada a partir da rede do host que executa o Studio no navegador e na VPC da Amazon de destino. Isso é necessário porque a interface do usuário do Studio invoca AWS endpoints usando chamadas de API com credenciais temporárias. AWS Essas credenciais temporárias estão associadas ao perfil de execução do usuário conectado. Se o domínio estiver configurado no VpcOnly modo em uma rede local, a função de execução poderá definir condições de política do IAM que imponham a execução de chamadas de API de AWS serviço somente por meio dos endpoints Amazon VPC configurados. Isso faz com que as chamadas de API executadas a partir da interface do usuário do Studio falhem. Recomendamos resolver isso usando uma conexão do AWS Site-to-Site VPN ou do AWS Direct Connect.

nota

Para um cliente que trabalha no modo VPC, os firewalls da empresa podem causar problemas de conexão com o Studio ou as aplicações. Faça as seguintes verificações se você encontrar um desses problemas ao usar o Studio por trás de um firewall:

  • Verifique se o URL do Studio e URLs de todos os seus aplicativos estão na lista de permissões da sua rede. Por exemplo:

    *.studio.region.sagemaker.aws
*.console.aws.a2z.com

  • Verifique se as conexões do websocket não estão bloqueadas. O Jupyter usa websockets.

Para obter mais informações