在没有互联网访问权限的 VPC 中配置 Amazon SageMaker Canvas - 亚马逊 SageMaker AI
在没有互联网访问权限的 VPC 中配置 Amazon SageMaker Canvas

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在没有互联网访问权限的 VPC 中配置 Amazon SageMaker Canvas

Amazon SageMaker Canvas 应用程序在 AWS 托管的亚马逊虚拟私有云 (VPC) 的容器中运行。如果您想进一步控制对资源的访问或在没有公共互联网访问的情况下运行 SageMaker Canvas,则可以配置您的 Amazon A SageMaker I 域和 VPC 设置。在您自己的 VPC 中,您可以配置诸如安全组(控制来自 Amazon EC2 实例的入站和出站流量的虚拟防火墙)和子网(您的 VPC 中的 IP 地址范围)等设置。要了解更多信息 VPCs,请参阅 Amazon VPC 的工作原理

当 SageMaker Canvas 应用程序在 AWS 托管 VPC 中运行时,它可以使用互联网连接或通过在客户管理的 VPC 中创建的 VPC 终端节点(无需公共互联网访问)与其他 AWS 服务进行交互。 SageMaker Canvas 应用程序可以通过 Studio Classic 创建的网络接口访问这些 VPC 终端节点,该接口提供与客户管理的 VPC 的连接。 SageMaker Canvas 应用程序的默认行为是访问互联网。使用互联网连接时,前述作业的容器会通过互联网访问 AWS 资源,例如存储训练数据和模型构件的 Amazon S3 存储桶。

但是,如果您有安全要求来控制对数据和任务容器的访问,我们建议您配置 SageMaker Canvas 和您的 VPC,以便无法通过 Internet 访问您的数据和容器。 SageMaker AI 使用您在为 C SageMaker anvas 设置域时指定的 VPC 配置设置。

如果您想在不访问互联网的情况下配置 SageMaker Canvas 应用程序,则必须在加入 Amazon A SageMaker I 域时配置 VPC 设置,设置 VPC 终端节点并授予必要的 AWS Identity and Access Management 权限。有关在 Amazon A SageMaker I 中配置 VPC 的信息,请参阅选择 Amazon VPC。以下各节介绍如何在没有公共互联网访问权限的 VPC 中运行 SageMaker Canvas。

在没有互联网访问权限的 VPC 中配置 Amazon SageMaker Canvas

您可以通过自己的 VPC 将流量从 SageMaker Canvas 发送到其他 AWS 服务。如果您自己的 VPC 没有公共互联网访问权限,并且您已将域设置为仅限 VPC 模式,那么 SageMaker Canvas 也无法访问公共互联网。这包括所有请求,如访问 Amazon S3 中的数据集或标准构建的训练作业,这些请求通过 VPC 中的 VPC 端点而不是公共互联网进行。当您加入域和 选择 Amazon VPC 时,可以指定自己的 VPC 作为域的默认 VPC,并指定所需的安全组和子网设置。然后, SageMaker AI 会在您的 VPC 中创建一个网络接口,Canva SageMaker s 使用该接口来访问您的 VPC 中的终端节点。

确保在您的 VPC 中设置一个或多个安全组,并设置允许安全组内 TCP 流量的入站和出站规则。这是 Jupyter Server 应用程序和 Kernel Gateway 应用程序之间的连接所需。必须至少允许访问范围 8192-65535 内的端口。此外,确保为每个用户配置文件创建不同的安全组,并添加来自同一安全组的入站访问权限。我们不建议对用户配置文件重复使用域级安全组。如果域级安全组允许对其自身进行入站访问,该域中的所有应用程序都有权访问域中的所有其他应用程序。请注意,安全组和子网设置是在您完成加入域后设置的。

在入网域时,如果您选择 “仅限公共互联网” 作为网络访问类型,则 VPC 将由 A SageMaker I 管理并允许访问互联网。

您可以通过仅选择 VPC 来更改此行为,以便 SageMaker AI 将所有流量发送到 A SageMaker I 在您指定 VPC 中创建的网络接口。选择此选项时,必须提供与 SageMaker API 和 SageMaker AI 运行时通信所需的子网、安全组和 VPC 终端节点,以及 C SageMaker anvas 使用的各种 AWS 服务,例如 Amazon S3 和 Amazon CloudWatch。请注意,您只能从与 VPC 位于同一区域的 Amazon S3 存储桶导入数据。

以下过程说明如何将这些设置配置为在没有互联网的情况下使用 SageMaker Canvas。

第 1 步:登录 Amazon A SageMaker I 域名

要将 SageMaker Canvas 流量发送到您自己的 VPC 中的网络接口,而不是通过互联网发送,请指定您在加入 Amazon A SageMaker I 域时要使用的 VPC。您还必须在 VPC 中指定至少两个 SageMaker AI 可以使用的子网。在为域配置网络和存储部分时,选择标准设置并执行以下步骤。

  1. 选择所需的 VPC

  2. 选择两个或更多子网。如果您未指定子网, SageMaker AI 将使用 VPC 中的所有子网。

  3. 选择一个或多个安全组

  4. 选择 “仅限 VPC” 可在托管 C SageMaker anvas 的 AWS 托管 VPC 中关闭直接互联网访问。

禁用互联网访问后,完成信息载入过程以设置您的域。有关 Amazon A SageMaker I 域的 VPC 设置的更多信息,请参阅选择 Amazon VPC

步骤 2:配置 VPC 端点和访问权限

注意

要在您自己的 VPC 中配置 Canvas,必须为 VPC 端点启用私有 DNS 主机名。有关更多信息,请参阅通过 VPC 接口终端节点连接到 SageMaker AI

SageMaker Canvas 仅访问其他 AWS 服务来管理和存储数据以实现其功能。例如,如果用户访问 Amazon Redshift 数据库,它就会连接到 Amazon Redshift。它可以使用互联网连接或 VPC 终端节点连接到诸如 Amazon Redshift 之类的 AWS 服务。如果您想设置从您的 VPC 到不使用公共互联网的 AWS 服务的连接,请使用 VPC 终端节点。

VPC 终端节点使用与公共 Internet 隔离的网络路径创建与 AWS 服务的私有连接。例如,如果您使用自己的 VPC 终端节点设置对 Amazon S3 的访问权限,那么 SageMaker Canvas 应用程序可以通过您的 VPC 中的网络接口,然后通过连接到 Amazon S3 的 VPC 终端节点来访问 Amazon S3。 SageMaker Canvas 和 Amazon S3 之间的通信是私密的。

有关为 VPC 配置 VPC 端点的更多信息,请参阅 AWS PrivateLink。如果您正在使用带有 VPC 的 Canvas 中的 Amazon Bedrock 模型,则有关控制数据访问权限的更多信息,请参阅《Amazon Bedrock 用户指南》中的使用 VPC 保护作业

以下是您可以在 C SageMaker anvas 中使用的每项服务的 VPC 终端节点:

服务 终端节点 端点类型

AWS App Auto Scaling

com.amazonaws。 Region. 应用程序自动缩放

接口

Amazon Athena

com.amazonaws。 Region.athena

接口

亚马逊 SageMaker AI

com.amazonaws。 Region.sagemaker.api

com.amazonaws。 Region.sagemaker.runtime

com.amazonaws。 Region. 笔记本

接口

亚马逊 SageMaker AI 数据科学助手

com.amazonaws。 Region。 sagemaker-data-science-assistant

接口

AWS Security Token Service

com.amazonaws。 Region.sts

接口

Amazon Elastic Container Registry (Amazon ECR)

com.amazonaws。 Region.ecr.api

com.amazonaws。 Region.ecr.dkr

接口

亚马逊弹性计算云(亚马逊 EC2)

com.amazonaws。 Region.ec2

接口

Amazon Simple Storage Service(Amazon S3)

com.amazonaws。 Region.s3

Gateway

Amazon Redshift

com.amazonaws。 Region.redShift-data

接口

AWS Secrets Manager

com.amazonaws。 Region.secretsManag

接口

AWS Systems Manager

com.amazonaws。 Region.ssm

接口

Amazon CloudWatch

com.amazonaws。 Region. 监控

接口

Amazon CloudWatch 日志

com.amazonaws。 Region.logs

接口

Amazon Forecast

com.amazonaws。 Region. 预测

com.amazonaws。 Region.forecastquer

接口

Amazon Textract

com.amazonaws。 Region.extract

接口

Amazon Comprehend

com.amazonaws。 Region.comprehend

接口

Amazon Rekognition

com.amazonaws。 Region. rekognition

接口

AWS Glue

com.amazonaws。 Region. glue

接口

AWS App Auto Scaling

com.amazonaws。 Region. 应用程序自动缩放

接口

Amazon Relational Database Service (Amazon RDS)

com.amazonaws。 Region.rds

接口

Amazon Bedrock(参见表格后的备注)

com.amazonaws。 Region.bedrock-rutime

接口

Amazon Kendra

com.amazonaws。 Region.kendra

接口

Amazon EMR Serverless

com.amazonaws。 Region.emr-serverless

接口

Amazon Q 开发者(参见表格后的备注)

com.amazonaws。 Region.q

接口
注意

Amazon Q 开发者 VPC 终端节点目前仅在美国东部(弗吉尼亚北部)地区可用。要从其他区域连接到它,您可以根据自己的安全和基础设施偏好选择以下选项之一:

  • 设置 NAT 网关。在您的 VPC 的私有子网中配置 NAT 网关,为 Q Developer 终端节点启用互联网连接。有关更多信息,请参阅在 VPC 私有子网中设置 NAT 网关。

  • 启用跨区域 VPC 终端节点访问。为 Q Developer 设置跨区域 VPC 终端节点访问权限。使用此选项无需访问互联网即可安全连接。有关更多信息,请参阅配置跨区域 VPC 终端节点访问

注意

对于 Amazon Bedrock,接口端点服务名称 com.amazonaws.Region.bedrock 已被弃用。使用上表中列出的服务名称创建新的 VPC 端点。

此外,在没有互联网接入的情况下,你无法从 Canv VPCs as 微调基础模型。这是因为 Amazon Bedrock 不支持 VPC 终端节点进行模型自定义 APIs。要了解有关在 Canvas 中微调基础模型的更多信息,请参阅 微调基础模型

您还必须为 Amazon S3 添加终端节点策略,以控制 AWS 委托人对您的 VPC 终端节点的访问权限。有关如何更新 VPC 端点策略的信息,请参阅使用端点策略控制对 VPC 端点的访问

以下是您可以使用的两个 VPC 端点策略。如果您只想授予对 Canvas 基本功能(例如导入数据和创建模型)的访问权限,请使用第一种策略。如果您要授予对 Canvas 中其他的生成式人工智能功能的访问权限,请使用第二种策略。

Basic VPC endpoint policy

以下策略授予 VPC 端点必要的访问权限,以便在 Canvas 中进行基本操作。

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }
Generative AI VPC endpoint policy

以下策略授予 VPC 端点必要的访问权限,以便在 Canvas 中进行基本操作以及使用生成式人工智能基础模型。

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*",
                "arn:aws:s3:::*fmeval/datasets*",
                "arn:aws:s3:::*jumpstart-cache-prod*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }

步骤 3:授予 IAM 权限

SageMaker Canvas 用户必须具有必要的 AWS Identity and Access Management 权限才能允许连接到 VPC 终端节点。您授予权限的 IAM 角色必须与您在加入 Amazon A SageMaker I 域时使用的角色相同。您可以将 SageMaker AI 托管AmazonSageMakerFullAccess策略附加到用户的 IAM 角色,以向用户授予所需的权限。如果您需要更严格的IAM权限并改用自定义策略,请向用户的角色ec2:DescribeVpcEndpointServices授予权限。 SageMaker Canvas 需要这些权限来验证是否存在标准构建任务所需的 VPC 终端节点。如果检测到这些 VPC 端点,那么标准构建作业就会默认在 VPC 中运行。否则,它们将在默认 AWS 托管 VPC 中运行。

有关如何将 AmazonSageMakerFullAccess IAM 策略附加到用户的 IAM 角色的说明,请参阅添加和删除 IAM 身份权限

要向用户的 IAM 角色授予精细的 ec2:DescribeVpcEndpointServices 权限,请按以下步骤操作。

  1. 登录 AWS Management Console 并打开 IAM 控制台

  2. 在导航窗格中,选择角色

  3. 在列表中,选择要授予其权限的角色的名称。

  4. 选择 Permissions(权限)选项卡。

  5. 选择添加权限,然后选择创建内联策略

  6. 选择 JSON 选项卡并输入以下授予 ec2:DescribeVpcEndpointServices 权限的策略:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "ec2:DescribeVpcEndpointServices",
            "Resource": "*"
        }
    ]
}

  7. 选择查看策略,然后输入策略的名称(例如 VPCEndpointPermissions)。

  8. 选择创建策略

用户的 IAM 角色现在应该有权访问在 VPC 中配置的 VPC 端点。

(可选)步骤 4:覆盖特定用户的安全组设置

如果您是管理员,则可能希望不同的用户拥有不同的 VPC 设置,或特定于用户的 VPC 设置。当您覆盖特定用户的默认 VPC 安全组设置时,这些设置将传递到该用户的 SageMaker Canvas 应用程序。

在 Studio Classic 中设置新用户配置文件时,可以覆盖特定用户在 VPC 中可以访问的安全组。你可以使用 CreateUserProfile SageMaker API 调用(或者使用 create_user_profil e AWS CLI),然后在中UserSettings,你可以为用户指SecurityGroups定。