Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Conéctese a SageMaker Studio Classic a través de un terminal de VPC de interfaz
Puede conectarse a Amazon SageMaker Studio Classic desde su Amazon Virtual Private Cloud (Amazon VPC) a través de un punto de enlace de interfaz en su VPC en lugar de conectarse a través de Internet. Cuando utiliza un punto final de la interfaz de la VPC (punto final de la interfaz), la comunicación entre la VPC y Studio Classic se lleva a cabo de forma completa y segura dentro de la red. AWS
SageMaker Studio Classic admite puntos finales de interfaz alimentados por. AWS PrivateLink Cada punto de conexión de interfaz está representado por una o varias interfaces de red elástica con direcciones IP privadas en las subredes de la VPC.
Studio Classic admite puntos de enlace de interfaz en todas AWS las regiones en las que están SageMaker disponibles Amazon
Temas
Crear un punto de enlace de la VPC
Puede crear un punto final de interfaz para conectarse a Studio Classic con la AWS consola o con AWS Command Line Interface ()AWS CLI. Para obtener instrucciones, consulte Creating an interface endpoint. Asegúrese de crear puntos finales de interfaz para todas las subredes de la VPC desde las que desee conectarse a Studio Classic.
Al crear un punto final de interfaz, asegúrese de que los grupos de seguridad del punto final permitan el acceso entrante al tráfico HTTPS desde los grupos de seguridad asociados a Studio Classic. SageMaker Para obtener más información, consulte Control access to services with VPC endpoints.
nota
Además de crear un punto final de interfaz para conectarse a SageMaker Studio Classic, cree un punto final de interfaz para conectarse a la SageMaker API de Amazon. Cuando los usuarios llaman CreatePresignedDomainUrlpara obtener la URL para conectarse a Studio Classic, esa llamada pasa por el punto final de la interfaz utilizado para conectarse a la SageMaker API.
Cuando cree el punto de conexión de interfaz, especifique aws.sagemaker. como nombre del servicio. Después de crear un punto de conexión de interfaz, habilite un DNS privado para su punto de conexión. Cuando te conectas a SageMaker Studio Classic desde la VPC mediante la SageMaker API, la o la consola, te conectas a través del punto final de la interfaz en lugar de a través de la Internet pública. AWS CLI También debe configurar un DNS personalizado con zonas alojadas privadas para el punto de enlace de Amazon VPC para que SageMaker Studio Classic pueda acceder a la SageMaker API mediante el punto de enlace en lugar de utilizar la Region.studioapi.sagemaker.$region.amazonaws.com URL del punto de enlace de VPC. Para obtener instrucciones sobre la configuración de una zona alojada privada, consulte Uso de zonas alojadas privadas.
Crear una política de puntos de conexión de VPC para Studio Classic SageMaker
Puede adjuntar una política de puntos de conexión de Amazon VPC a los puntos de enlace de la interfaz de VPC que utilice para conectarse a Studio Classic. SageMaker La política de puntos finales controla el acceso a Studio Classic. Puede especificar lo siguiente:
-
La entidad principal que puede realizar acciones.
-
Las acciones que se pueden realizar.
-
Los recursos en los que se pueden llevar a cabo las acciones.
Para usar un punto de enlace de VPC con SageMaker Studio Classic, su política de punto final debe permitir la CreateApp operación en el tipo de KernelGateway aplicación. Esto permite que el tráfico que se enruta a través del punto de conexión de VPC llame a la API CreateApp. En el siguiente ejemplo de política de punto de conexión de VPC se muestra cómo permitir la operación CreateApp.
{ "Statement": [ { "Action": "sagemaker:CreateApp", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*", "Principal": "*" } ] }
Para obtener más información, consulte Control del acceso a los servicios con puntos de conexión de VPC.
El siguiente ejemplo de una política de punto final de VPC especifica que todos los usuarios que tienen acceso al punto final pueden acceder a los perfiles de usuario del SageMaker dominio con el ID de dominio especificado. Se deniega el acceso a otros dominios.
{ "Statement": [ { "Action": "sagemaker:CreatePresignedDomainUrl", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*", "Principal": "*" } ] }
Permitir el acceso solo desde su VPC
Los usuarios ajenos a su VPC pueden conectarse a SageMaker Studio Classic a través de Internet, incluso si configura un punto final de interfaz en su VPC.
Para permitir el acceso únicamente a las conexiones realizadas desde su VPC, cree una política de AWS Identity and Access Management (IAM) a tal efecto. Agrega esa política a cada usuario, grupo o rol que utilices para acceder a Studio Classic. Esta característica solo se admite en el modo IAM y no en el modo IAM Identity Center. En los siguientes ejemplos se muestra cómo crear dichas políticas.
importante
Si aplicas una política de IAM similar a uno de los siguientes ejemplos, los usuarios no podrán acceder a SageMaker Studio Classic ni a SageMaker las API especificadas a través de la SageMaker consola. Para acceder a Studio Classic, los usuarios deben usar una URL prefirmada o llamar directamente a las SageMaker API.
Ejemplo 1: Permitir las conexiones solo dentro de la subred de un punto de conexión de interfaz
La siguiente política únicamente permite las conexiones a los intermediarios que se encuentren dentro de una subred en la que se haya creado un punto de conexión de interfaz.
{ "Id": "sagemaker-studio-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc":"vpc-111bbaaa"} } } ] }
Ejemplo 2: Permitir las conexiones solo a través de los puntos de conexión de la interfaz mediante aws:sourceVpce
La siguiente política solo permite las conexiones que se realizan a través de los puntos de conexión de interfaz especificados en la clave de condición aws:sourceVpce. Por ejemplo, el primer punto final de la interfaz podría permitir el acceso a través de la SageMaker consola. El segundo punto final de la interfaz podría permitir el acceso a través de la SageMaker API.
{ "Id": "sagemaker-studio-example-2", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": ["vpce-111bbccc","vpce-111bbddd"] } } } ] }
La política incluye la acción DescribeUserProfile. Normalmente, se llama a DescribeUserProfile para comprobar que el estado del perfil de usuario es InService antes de intentar conectarse al dominio. Por ejemplo:
aws sagemaker describe-user-profile \ --domain-iddomain-id\ --user-profile-nameprofile-name
Respuesta:
{ "DomainId": "domain-id", "UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name", "UserProfileName": "profile-name", "HomeEfsFileSystemUid": "200001", "Status": "InService", "LastModifiedTime": 1605418785.555, "CreationTime": 1605418477.297 }
aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name
Respuesta:
{ "AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken" }
Para ambos tipos de llamadas, si utiliza una versión del AWS SDK que se lanzó antes del 13 de agosto de 2018, debe especificar la dirección URL del punto de conexión en la llamada. Por ejemplo, en el siguiente ejemplo se muestra una llamada a create-presigned-domain-url:
aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name\ --endpoint-urlvpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com
Ejemplo 3: Permitir las conexiones desde las direcciones IP mediante aws:SourceIp
La siguiente política permite las conexiones solo desde el rango especificado de direcciones IP mediante la clave de condición aws:SourceIp.
{ "Id": "sagemaker-studio-example-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "IpAddress": { "aws:SourceIp": ["192.0.2.0/24","203.0.113.0/24"] } } } ] }
Ejemplo 4: Permitir las conexiones desde las direcciones IP a través de un punto de conexión de interfaz mediante aws:VpcSourceIp
Si accede a SageMaker Studio Classic a través de un punto final de interfaz, puede usar la clave de aws:VpcSourceIp condición para permitir las conexiones únicamente desde el rango especificado de direcciones IP dentro de la subred en la que creó el punto final de la interfaz, tal y como se muestra en la siguiente política:
{ "Id": "sagemaker-studio-example-4", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "IpAddress": { "aws:VpcSourceIp": ["192.0.2.0/24","203.0.113.0/24"] }, "StringEquals": { "aws:SourceVpc":"vpc-111bbaaa"} } } ] }
