Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Conéctese a una instancia de Notebook a través de un punto final VPC de interfaz
Puedes conectarte a tu instancia de notebook desde tu VPC terminal de interfaz en tu nube privada virtual (VPC) en lugar de conectarte a través de la Internet pública. Cuando utiliza un punto final de VPC interfaz, la comunicación entre su instancia de notebook VPC y la suya se lleva a cabo de forma completa y segura dentro del AWS red.
SageMaker las instancias de notebook son compatibles con los puntos de conexión de la interfaz Amazon Virtual Private Cloud (AmazonVPC) que funcionan con AWS PrivateLink. Cada VPC punto final está representado por una o más interfaces de red elásticas con direcciones IP privadas en las VPC subredes.
nota
Antes de crear un VPC punto final de interfaz para conectarlo a una instancia de notebook, cree un VPC punto final de interfaz para conectarse al SageMaker API. De esa forma, cuando los usuarios llamen CreatePresignedNotebookInstanceUrlpara poder conectarse URL a la instancia del portátil, esa llamada también pasa por el VPC punto final de la interfaz. Para obtener más información, consulte Conéctese a SageMaker Within your VPC.
Puede crear un punto final de interfaz para conectarse a la instancia de su bloc de notas con AWS Management Console o AWS Command Line Interface (AWS CLI) comandos. Para obtener instrucciones, consulte Creating an Interface Endpoint. Asegúrese de crear un punto final de interfaz para todas las subredes de su red VPC desde las que desee conectarse a la instancia de notebook.
Al crear el punto final de la interfaz, especifique aws.sagemaker.Region.notebook como nombre del servicio. Después de crear un VPC punto final, habilite la privacidad DNS para su VPC punto final. Cualquier persona que utilice el SageMaker API, el AWS CLI, o la consola para conectarse a la instancia de notebook desde dentro, VPC se conecta a la instancia de notebook a través del VPC punto final en lugar de a través de la Internet pública.
SageMaker las instancias de notebook son compatibles con VPC todos los puntos de conexión Regiones de AWS donde están disponibles VPC tanto Amazon como SageMakerestán disponibles.
Temas
Conecte su red privada a su VPC
Para conectarse a la instancia de su portátil a través de la suyaVPC, debe conectarse desde una instancia que se encuentre dentro de laVPC, o conectar su red privada a la VPC suya mediante un AWS Virtual Private Network (AWS VPN) o AWS Direct Connect. Para obtener información sobre AWS VPN, consulte VPNConexiones en la Guía del usuario de Amazon Virtual Private Cloud. Para obtener más información AWS Direct Connect, consulte Creación de una conexión en el AWS Guía del usuario de Direct Connect.
Cree una política de VPC puntos finales para las instancias de SageMaker Notebook
Puedes crear una política para los VPC puntos de enlace de Amazon para instancias de SageMaker notebooks con el fin de especificar lo siguiente:
-
La entidad principal que puede realizar acciones.
-
Las acciones que se pueden realizar.
-
Los recursos en los que se pueden llevar a cabo las acciones.
Para obtener más información, consulte Control del acceso a los servicios con VPC puntos de enlace en la Guía del VPC usuario de Amazon.
El siguiente ejemplo de política de VPC puntos finales especifica que todos los usuarios que tienen acceso al punto final pueden acceder a la instancia de notebook denominadamyNotebookInstance.
{ "Statement": [ { "Action": "sagemaker:CreatePresignedNotebookInstanceUrl", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance", "Principal": "*" } ] }
El acceso a otras instancias de bloc de notas se deniega.
Restrinja el acceso a las conexiones desde dentro de su VPC
Incluso si configura un punto final de interfaz en su dispositivoVPC, las personas ajenas al mismo VPC pueden conectarse a la instancia del portátil a través de Internet.
importante
Si aplicas una IAM política similar a una de las siguientes, los usuarios no podrán acceder a la instancia especificada SageMaker APIs ni a la instancia del portátil a través de la consola.
Para restringir el acceso únicamente a las conexiones que se realicen desde dentro de la tuyaVPC, crea una AWS Identity and Access Management política que restrinja el acceso únicamente a las llamadas que provengan de su VPC interior. Luego agrega esa política a cada AWS Identity and Access Management usuario, grupo o rol utilizado para acceder a la instancia del bloc de notas.
nota
Esta política únicamente permite las conexiones a los intermediarios que se encuentren dentro de una subred en la que se haya creado un punto de enlace de interfaz.
{ "Id": "notebook-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable Notebook Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedNotebookInstanceUrl", "sagemaker:DescribeNotebookInstance" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-111bbaaa" } } } ] }
Si desea restringir el acceso a la instancia de cuaderno únicamente a conexiones realizadas mediante el punto de conexión de interfaz, utilice la clave de condición aws:SourceVpce en lugar de aws:SourceVpc:.
{ "Id": "notebook-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable Notebook Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedNotebookInstanceUrl", "sagemaker:DescribeNotebookInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": [ "vpce-111bbccc", "vpce-111bbddd" ] } } } ] }
En estos dos ejemplos de políticas se supone que también ha creado un punto final de interfaz para SageMaker API. Para obtener más información, consulte Conéctese a SageMaker Within your VPC. En el segundo ejemplo, uno de los valores de aws:SourceVpce es el ID del punto de enlace de la interfaz para la instancia de bloc de notas. El otro es el ID del punto final de la interfaz para SageMaker API.
Los ejemplos de políticas que aparecen aquí incluyen
DescribeNotebookInstance, porque lo normal es que llames DescribeNotebookInstance para asegurarte de que NotebookInstanceStatus está InService antes de intentar conectarte a él. Por ejemplo:
aws sagemaker describe-notebook-instance \ --notebook-instance-name myNotebookInstance { "NotebookInstanceArn": "arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance", "NotebookInstanceName": "myNotebookInstance", "NotebookInstanceStatus": "InService", "Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws", "InstanceType": "ml.m4.xlarge", "RoleArn": "arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456", "LastModifiedTime": 1540334777.501, "CreationTime": 1523050674.078, "DirectInternetAccess": "Disabled" } aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance { "AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=AuthToken}
nota
La presigned-notebook-instance-url, AuthorizedUrl, generada se puede utilizar desde cualquier lugar de Internet.
En ambas llamadas, si no ha activado DNS los nombres de servidor privados para su VPC terminal o si utiliza una versión del AWS SDKque se publicó antes del 13 de agosto de 2018, debe especificar el punto final URL en la llamada. Por ejemplo, la llamada a create-presigned-notebook-instance-url es:
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-namemyNotebookInstance--endpoint-urlVPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
