本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

在沒有網際網路存取權的 VPC 中設定 Amazon SageMaker Canvas

Amazon SageMaker Canvas 應用程式會在 AWS 受管 Amazon Virtual Private Cloud (VPC) 中的容器中執行。如果您想要進一步控制對 資源的存取，或在沒有公有網際網路存取的情況下執行 SageMaker Canvas，您可以設定 Amazon SageMaker AI 網域和 VPC 設定。在您自己的 VPC 中，您可以設定安全群組 (控制 Amazon EC2 執行個體傳入和傳出流量的虛擬防火牆) 和子網路 (VPC 中的 IP 地址範圍) 等設定。若要進一步了解虛擬私人雲端，請參閱 Amazon VPC 的運作方式。

當 SageMaker Canvas 應用程式在 AWS 受管 VPC 中執行時，它可以使用網際網路連線或透過客戶受管 VPC 中建立的 VPC 端點 （不使用公有網際網路存取） 與其他 AWS 服務互動。SageMaker Canvas 應用程式可以透過 Studio Classic 建立的網路介面來存取這些 VPC 端點，該介面可提供與客戶受管 VPC 的連線。SageMaker Canvas 應用程式的預設行為是具有網際網路存取許可。使用網際網路連線時，先前任務的容器會透過網際網路存取 AWS 資源，例如存放訓練資料和模型成品的 Amazon S3 儲存貯體。

但是，如果您有控制資料和工作容器存取的安全性需求，建議您設定 SageMaker Canvas 和 VPC，以便無法透過網際網路存取資料和容器。SageMaker AI 使用您在為 SageMaker Canvas 設定網域時指定的 VPC 組態設定。

如果您想要在沒有網際網路存取的情況下設定 SageMaker Canvas 應用程式，則必須在加入 Amazon SageMaker AI 網域時設定 VPC 設定、設定 VPC 端點，並授予必要的 AWS Identity and Access Management 許可。如需在 Amazon SageMaker AI 中設定 VPC 的資訊，請參閱 選擇一個 Amazon VPC。以下部分描述了如何在沒有公共網際網路存取權的情況下，在 VPC 中執行 SageMaker Canvas。

在沒有網際網路存取權的 VPC 中設定 Amazon SageMaker Canvas

您可以透過自己的 VPC，將流量從 SageMaker Canvas 傳送至其他 AWS 服務。如果您自己的 VPC 沒有公有網際網路存取，而且您已在僅限 VPC 模式下設定網域，則 SageMaker Canvas 也不會有公有網際網路存取。這包括所有請求，例如存取 Amazon S3 中的資料集或標準組建的訓練任務，而且請求會透過 VPC 中的 VPC 端點進行，而非公用網際網路。當您加入網域 和 時選擇一個 Amazon VPC，您可以將自己的 VPC 指定為網域的預設 VPC，以及所需的安全群組和子網路設定。然後，SageMaker AI 會在您的 VPC 中建立網路介面，SageMaker Canvas 會使用它來存取 VPC 中的 VPC 端點。

請確定您在 VPC 中設定一或多個安全群組，其中包含允許安全群組內 TCP 流量的傳入和傳出規則。這是 Jupyter Server 應用程式與 Kernel Gateway 應用程式之間的連線所需的。您必須至少允許存取範圍 8192-65535 內的連接埠。此外，請務必為每個使用者設定檔建立不同的安全群組，並從相同的安全群組新增傳入存取。我們不建議針對使用者設定檔重複使用網域層級安全群組。如果網域層級安全群組允許對本身的傳入存取，則網域中的所有應用程式都可以存取網域中的所有其他應用程式。請注意，安全群組和子網路設定會在您完成加入網域後設定。

加入網域時，如果您選擇公有網際網路做為網路存取類型，VPC 會受 SageMaker AI 管理並允許網際網路存取。

您可以只選擇 VPC 來變更此行為，讓 SageMaker AI 將所有流量傳送到 SageMaker AI 在指定的 VPC 中建立的網路界面。當您選擇此選項時，必須提供與 SageMaker API 和 SageMaker AI 執行期通訊所需的子網路、安全群組和 VPC 端點，以及 SageMaker Canvas 使用的各種 AWS 服務，例如 Amazon S3 和 Amazon CloudWatch。請注意，您只能從與您的 VPC 位於同一區域的 Amazon S3 儲存貯體匯入資料。

下列程序顯示如何設定這些設定以在沒有網際網路的情況下使用 SageMaker Canvas。

步驟 1：加入 Amazon SageMaker AI 網域

若要將 SageMaker Canvas 流量傳送到您自己的 VPC 中的網路介面，而不是透過網際網路，請指定您在加入 Amazon SageMaker AI 網域時要使用的 VPC。您還必須在 VPC 中指定至少兩個 SageMaker AI 可以使用的子網路。選擇標準設定，並在設定網域的網路和儲存區段時執行下列程序。

停用網際網路存取後，請完成加入程序來設定您的網域。如需 Amazon SageMaker AI 網域 VPC 設定的詳細資訊，請參閱選擇一個 Amazon VPC。

步驟 2：設定 VPC 端點和存取

SageMaker Canvas 只會存取其他 AWS 服務來管理和存放其功能的資料。例如，如果您的使用者存取 Amazon Redshift 資料庫，它就會連線到 Amazon Redshift。它可以使用網際網路連線或 VPC 端點連線到 Amazon Redshift 等 AWS 服務。如果您想要設定從 VPC 到不使用公有網際網路之 AWS 服務的連線，請使用 VPC 端點。

VPC 端點會建立 AWS 服務的私有連線，該服務使用與公有網際網路隔離的聯網路徑。例如，如果您使用自己的 VPC 端點設定對 Amazon S3 的存取權，則 SageMaker Canvas 應用程式可以透過 VPC 擬私人雲端中的網路介面，然後透過連線到 Amazon S3 的 VPC 端點存取 Amazon S3。SageMaker Canvas 和 Amazon S3 之間的通訊是私有的。

如需設定您的 VPC 端點的更多相關資訊，請參閱 AWS PrivateLink。如果您在 Canvas 中搭配 VPC 使用 Amazon Bedrock 模型，有關控制資料存取的更多相關資訊，請參閱 Amazon Bedrock 使用者指南中的使用 VPC 保護工作。

以下是您可以與 SageMaker Canvas 搭配使用的每個服務的 VPC 端點：

您還必須新增 Amazon S3 的端點政策，以控制 VPC 端點的 AWS 主體存取。如需如何檢查 VPC 端點政策的詳細資訊，請參閱使用端點政策控制對 VPC 端點的存取。

以下是兩個您可以使用的 VPC 端點政策。如果您只想要授予 Canvas 基本功能的存取權，例如匯入資料和建立模型，請使用第一個政策。如果您想要授予 Canvas 中其他生成 AI 功能的存取權，請使用第二個政策。

Basic VPC endpoint policy

下列政策授予您在 Canvas 中基本操作的必要 VPC 端點存取權。

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }

Generative AI VPC endpoint policy

下列政策授予您在 Canvas 中基本操作的必要 VPC 端點存取權，以及使用生成式 AI 基礎模型。

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*",
                "arn:aws:s3:::*fmeval/datasets*",
                "arn:aws:s3:::*jumpstart-cache-prod*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }

步驟 3：授予 IAM 許可

SageMaker Canvas 使用者必須具備必要的 AWS Identity and Access Management 許可，才能允許連線至 VPC 端點。您授予許可的 IAM 角色必須與您在加入 Amazon SageMaker AI 網域時所使用的角色相同。您可以將 SageMaker AI 受管AmazonSageMakerFullAccess政策連接至 IAM 角色，讓使用者獲得所需的許可。如果您需要更嚴格的 IAM 許可並改用自訂政策，請將 ec2:DescribeVpcEndpointServices 許可授予使用者角色。SageMaker Canvas 需要這些許可，才能驗證標準建置工作所需的 VPC 端點是否存在。如果偵測到這些 VPC 端點，則依預設會在您的 VPC 中執行標準建置工作。否則，它們將在預設 AWS 受管 VPC 中執行。

如需有關將 AmazonSageMakerFullAccess IAM 政策連接至使用者 IAM 角色的指示，請參閱新增與移除 IAM 身分許可。

若要授予使用者的 IAM 角色詳細的 ec2:DescribeVpcEndpointServices 許可，請遵循下列程序。

使用者的 IAM 角色現在應具有存取您的 VPC 中設定的 VPC 端點的許可。

(選擇性) 步驟 4：覆寫特定使用者的安全群組設定

如果您是管理員，則可能希望不同的使用者擁有不同的 VPC 設定或使用者特定的 VPC 設定。當您覆寫特定使用者的預設 VPC 安全群組設定時，這些設定會傳遞至該使用者的 SageMaker Canvas 應用程式。

當您在 Studio Classic 中設定新的使用者設定檔時，您可以覆寫特定使用者在 VPC 中可存取的安全群組。您可以使用 CreateUserProfile SageMaker API 呼叫 (或搭配 AWS CLI 使用 create_user_profile)，然後在 UserSettings 中，您可以為使用者指定 SecurityGroups。