Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Connect zu Amazon SageMaker Studio und Studio Classic über einen Schnittstellen-VPC-Endpunkt her
Sie können von Ihrer Amazon Amazon SageMaker Virtual Private Cloud (Amazon VPC) aus über einen Schnittstellenendpunkt in Ihrer VPC eine Verbindung zu Ihrem Amazon SageMaker Studio und Amazon Studio Classic herstellen, anstatt eine Verbindung über das Internet herzustellen. Wenn Sie einen Schnittstellen-VPC-Endpunkt (Schnittstellenendpunkt) verwenden, erfolgt die Kommunikation zwischen Ihrer VPC und Studio oder Studio Classic vollständig und sicher innerhalb des AWS Netzwerks.
Studio und Studio Classic unterstützen Schnittstellenendpunkte, die von betrieben werden. AWS PrivateLink Jeder Schnittstellenendpunkt wird durch eine oder mehrere Elastic-Netzwerkschnittstellen mit privaten IP-Adressen in Ihren VPC-Subnetzen repräsentiert.
Studio und Studio Classic unterstützen Schnittstellenendpunkte in allen AWS Regionen, in denen SageMaker sowohl Amazon
Themen
Erstellen eines VPC-Endpunktes
Sie können einen Schnittstellenendpunkt erstellen, um mit der AWS Konsole oder der AWS Command Line Interface ()AWS CLI eine Verbindung zu Studio oder Studio Classic herzustellen. Anweisungen finden Sie unter Erstellen eines Schnittstellenendpunkts. Stellen Sie sicher, dass Sie Schnittstellenendpunkte für alle Subnetze in Ihrer VPC erstellen, von denen aus Sie eine Verbindung zu Studio und Studio Classic herstellen möchten.
Wenn Sie einen Schnittstellenendpunkt erstellen, stellen Sie sicher, dass die Sicherheitsgruppen auf Ihrem Endpunkt eingehenden Zugriff für HTTPS-Verkehr von den Sicherheitsgruppen zulassen, die Studio und Studio Classic zugeordnet sind. Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten.
Anmerkung
Erstellen Sie nicht nur einen Schnittstellenendpunkt für die Verbindung mit Studio und Studio Classic, sondern auch einen Schnittstellenendpunkt für die Verbindung mit der SageMaker Amazon-API. Wenn Benutzer aufrufen CreatePresignedDomainUrl, um die URL für die Verbindung mit Studio und Studio Classic abzurufen, erfolgt dieser Aufruf über den Schnittstellenendpunkt, der für die Verbindung mit der SageMaker API verwendet wird.
Wenn Sie den Schnittstellenendpunkt erstellen, geben Sie aws.sagemaker. als Dienstnamen entweder Studio oder Studio Classic an. Nachdem Sie den Schnittstellenendpunkt erstellt haben, aktivieren Sie privates DNS für Ihren Endpunkt. Wenn Sie von der VPC aus über die SageMaker API, die oder die Konsole eine Verbindung zu Studio oder Studio Classic herstellen AWS CLI, stellen Sie die Verbindung über den Schnittstellenendpunkt statt über das öffentliche Internet her. Sie müssen auch ein benutzerdefiniertes DNS mit privaten gehosteten Zonen für den Amazon VPC-Endpunkt einrichten, damit Studio oder Studio Classic über den Endpunkt auf die SageMaker API zugreifen können, anstatt die Region.studioapi.sagemaker.$region.amazonaws.com VPC-Endpunkt-URL zu verwenden. Anweisungen zum Einrichten einer privat gehosteten Zone finden Sie unter Arbeiten mit privat gehosteten Zonen.
Erstellen Sie eine VPC-Endpunktrichtlinie für Studio oder Studio Classic
Sie können eine Amazon VPC-Endpunktrichtlinie an die Schnittstellen-VPC-Endpoints anhängen, die Sie für die Verbindung mit Studio oder Studio Classic verwenden. Die Endpunktrichtlinie steuert den Zugriff auf Studio oder Studio Classic. Sie können folgende Formen angeben:
-
Prinzipal, der die Aktionen ausführen kann.
-
Aktionen, die ausgeführt werden können
-
Die Ressourcen, für die Aktionen ausgeführt werden können.
Um einen VPC-Endpunkt mit Studio oder Studio Classic zu verwenden, muss Ihre Endpunktrichtlinie den CreateApp Vorgang für den KernelGateway App-Typ zulassen. Dadurch kann der Datenverkehr, der über den VPC-Endpunkt geleitet wird, die CreateApp API aufrufen. Das folgende Beispiel für eine VPC-Endpunktrichtlinie zeigt, wie der CreateApp-Vorgang zugelassen werden kann.
{ "Statement": [ { "Action": "sagemaker:CreateApp", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*", "Principal": "*" } ] }
Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit VPC-Endpunkten.
Das folgende Beispiel für eine VPC-Endpunktrichtlinie legt fest, dass alle Benutzer, die Zugriff auf den Endpunkt haben, auf die Benutzerprofile in der SageMaker Domäne mit der angegebenen Domänen-ID zugreifen dürfen. Der Zugriff auf andere Domains wird abgelehnt.
{ "Statement": [ { "Action": "sagemaker:CreatePresignedDomainUrl", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*", "Principal": "*" } ] }
Zugriff nur von Ihrer VPC aus zulassen
Benutzer außerhalb Ihrer VPC können über das Internet eine Verbindung zu Studio oder Studio Classic herstellen, auch wenn Sie in Ihrer VPC einen Schnittstellenendpunkt eingerichtet haben.
Um den Zugriff nur auf Verbindungen zu ermöglichen, die von Ihrer VPC aus hergestellt wurden, erstellen Sie eine entsprechende AWS Identity and Access Management (IAM-) Richtlinie. Fügen Sie diese Richtlinie allen Benutzern, Gruppen oder Rollen hinzu, die für den Zugriff auf Studio oder Studio Classic verwendet werden. Diese Funktion wird nur unterstützt, wenn der IAM-Modus für die Authentifizierung verwendet wird, und wird im IAM Identity Center-Modus nicht unterstützt. Die folgenden Beispiele veranschaulichen, wie solche Richtlinien erstellt werden.
Wichtig
Wenn Sie eine IAM-Richtlinie anwenden, die einem der folgenden Beispiele ähnelt, können Benutzer nicht über die Konsole auf Studio oder Studio Classic oder die angegebenen SageMaker APIs zugreifen. SageMaker Um auf Studio oder Studio Classic zuzugreifen, müssen Benutzer eine vorsignierte URL verwenden oder die SageMaker APIs direkt aufrufen.
Beispiel 1: Verbindungen nur innerhalb des Subnetzes eines Schnittstellenendpunkts zulassen
Die folgende Richtlinie erlaubt nur Verbindungen zu Anrufern innerhalb des Teilnetzes, in dem Sie den Schnittstellenendpunkt erstellt haben.
{ "Id": "sagemaker-studio-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc":"vpc-111bbaaa"} } } ] }
Beispiel 2: Verbindungen nur über Schnittstellenendpunkte zulassen mit aws:sourceVpce
Die folgende Richtlinie erlaubt nur Verbindungen zu Verbindungen, die über die durch den aws:sourceVpce Bedingungsschlüssel angegebenen Schnittstellenendpunkte hergestellt werden. Beispielsweise könnte der erste Schnittstellenendpunkt den Zugriff über die SageMaker Konsole ermöglichen. Der zweite Schnittstellenendpunkt könnte den Zugriff über die SageMaker API ermöglichen.
{ "Id": "sagemaker-studio-example-2", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": ["vpce-111bbccc","vpce-111bbddd"] } } } ] }
Diese Richtlinie muss auch die Aktion DescribeUserProfile enthalten. Normalerweise rufen Sie DescribeUserProfile auf, um sicherzustellen, dass der Status des Benutzerprofils InService ist, bevor Sie versuchen, eine Verbindung zur Domain herzustellen. Beispielsweise:
aws sagemaker describe-user-profile \ --domain-iddomain-id\ --user-profile-nameprofile-name
Antwort:
{ "DomainId": "domain-id", "UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name", "UserProfileName": "profile-name", "HomeEfsFileSystemUid": "200001", "Status": "InService", "LastModifiedTime": 1605418785.555, "CreationTime": 1605418477.297 }
aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name
Antwort:
{ "AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken" }
Wenn Sie für diese beiden Aufrufe eine Version des AWS SDK verwenden, die vor dem 13. August 2018 veröffentlicht wurde, müssen Sie die Endpunkt-URL im Aufruf angeben. Das folgende Beispiel zeigt einen Aufruf an create-presigned-domain-url:
aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name\ --endpoint-urlvpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com
Beispiel 3: Verbindungen von IP-Adressen zulassen mit aws:SourceIp
Die folgende Richtlinie erlaubt nur Verbindungen aus dem angegebenen IP-Adressbereich unter Verwendung des aws:SourceIp Bedingungsschlüssels.
{ "Id": "sagemaker-studio-example-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "IpAddress": { "aws:SourceIp": ["192.0.2.0/24","203.0.113.0/24"] } } } ] }
Beispiel 4: Verbindungen von IP-Adressen über einen Schnittstellenendpunkt zulassen mit aws:VpcSourceIp
Wenn Sie über einen Schnittstellenendpunkt auf Studio oder Studio Classic zugreifen, können Sie den aws:VpcSourceIp Bedingungsschlüssel verwenden, um nur Verbindungen aus dem angegebenen IP-Adressbereich innerhalb des Subnetzes zuzulassen, in dem Sie den Schnittstellenendpunkt erstellt haben, wie in der folgenden Richtlinie dargestellt:
{ "Id": "sagemaker-studio-example-4", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "IpAddress": { "aws:VpcSourceIp": ["192.0.2.0/24","203.0.113.0/24"] }, "StringEquals": { "aws:SourceVpc":"vpc-111bbaaa"} } } ] }
