Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Conéctese a Amazon SageMaker Studio y Studio Classic a través de un VPC punto final de interfaz
Puede conectarse a Amazon SageMaker Studio y Amazon SageMaker Studio Classic desde su Amazon Virtual Private Cloud (AmazonVPC) a través de un punto de enlace de interfaz en su VPC lugar de conectarse a través de Internet. Cuando utiliza un punto final de interfaz (VPCpunto final de interfaz), la comunicación entre usted VPC y Studio o Studio Classic se lleva a cabo de forma completa y segura dentro de la AWS red.
Studio y Studio Classic admiten terminales de interfaz alimentados por AWS PrivateLink. Cada punto final de la interfaz está representado por una o más interfaces de red elásticas con direcciones IP privadas en las VPC subredes.
Studio y Studio Classic admiten puntos finales de interfaz en todas AWS las regiones en las que Amazon SageMaker
Temas
Creación de un punto de enlace de VPC
Puedes crear un punto final de interfaz para conectarte a Studio o Studio Classic con la AWS consola o con AWS Command Line Interface (AWS CLI). Para obtener instrucciones, consulte Creating an interface endpoint. Asegúrese de crear puntos finales de interfaz para todas las subredes VPC desde las que desee conectarse a Studio y Studio Classic.
Al crear un punto final de interfaz, asegúrese de que los grupos de seguridad del punto final permitan el acceso entrante al HTTPS tráfico procedente de los grupos de seguridad asociados a Studio y Studio Classic. Para obtener más información, consulte Controlar el acceso a los servicios con puntos VPC finales.
nota
Además de crear un punto final de interfaz para conectarse a Studio y Studio Classic, cree un punto final de interfaz para conectarse a Amazon SageMaker API. Cuando los usuarios llaman CreatePresignedDomainUrlpara conectarse URL a Studio y Studio Classic, esa llamada pasa por el punto final de la interfaz utilizado para conectarse a SageMaker API.
Al crear el punto final de la interfaz, especifíquelo aws.sagemaker. como nombre de servicio para Studio o Studio Classic. Después de crear el punto final de la interfaz, habilite la opción privada DNS para el punto final. Cuando te conectas a Studio o Studio Classic desde dentro de la VPC consola SageMaker API, la o la consola AWS CLI, te conectas a través del punto final de la interfaz en lugar de a través de la Internet pública. También debe configurar una configuración personalizada DNS con zonas alojadas privadas para el VPC punto de conexión de Amazon, de modo que Studio o Studio Classic puedan acceder a él SageMaker API mediante el Region.studioapi.sagemaker.$region.amazonaws.com punto de enlace en lugar de hacerlo desde el VPC punto de enlaceURL. Para obtener instrucciones sobre la configuración de una zona alojada privada, consulte Uso de zonas alojadas privadas.
Crea una política VPC de puntos finales para Studio o Studio Classic
Puede adjuntar una política de puntos de VPC conexión de Amazon a los VPC puntos de conexión de la interfaz que utilice para conectarse a Studio o Studio Classic. La política de puntos finales controla el acceso a Studio o Studio Classic. Puede especificar lo siguiente:
-
La entidad principal que puede realizar acciones.
-
Las acciones que se pueden realizar.
-
Los recursos en los que se pueden llevar a cabo las acciones.
Para usar un VPC dispositivo de punto final con Studio o Studio Classic, su política de punto final debe permitir la CreateApp operación en el tipo de KernelGateway aplicación. Esto permite que el tráfico que se dirige a través del VPC punto final llame al CreateAppAPI. El siguiente ejemplo de política de VPC punto final muestra cómo permitir la CreateApp operación.
{ "Statement": [ { "Action": "sagemaker:CreateApp", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*", "Principal": "*" } ] }
Para obtener más información, consulte Controlar el acceso a los servicios con VPC puntos finales.
El siguiente ejemplo de una política de VPC punto final especifica que todos los usuarios que tienen acceso al punto final pueden acceder a los perfiles de usuario del SageMaker dominio con el ID de dominio especificado. Se deniega el acceso a otros dominios.
{ "Statement": [ { "Action": "sagemaker:CreatePresignedDomainUrl", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*", "Principal": "*" } ] }
Permita el acceso solo desde dentro de su VPC
Los usuarios ajenos a usted VPC pueden conectarse a Studio o Studio Classic a través de Internet, incluso si ha configurado un punto final de interfaz en suVPC.
Para permitir el acceso únicamente a las conexiones que se realicen desde tu dispositivoVPC, crea una política AWS Identity and Access Management (IAM) a tal efecto. Añada esa política a cada usuario, grupo o rol que utilice para acceder a Studio o Studio Classic. Esta función solo se admite cuando se utiliza IAM el modo de autenticación y no se admite en el modo IAM Identity Center. En los siguientes ejemplos se muestra cómo crear dichas políticas.
importante
Si aplica una IAM política similar a uno de los ejemplos siguientes, los usuarios no podrán acceder a Studio o Studio Classic o a los dispositivos especificados SageMaker APIs a través de la SageMaker consola. Para acceder a Studio o Studio Classic, los usuarios deben usar una tarjeta prefirmada URL o llamarlos SageMaker APIs directamente.
Ejemplo 1: Permitir las conexiones solo dentro de la subred de un punto de conexión de interfaz
La siguiente política únicamente permite las conexiones a los intermediarios que se encuentren dentro de una subred en la que se haya creado un punto de conexión de interfaz.
{ "Id": "sagemaker-studio-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc":"vpc-111bbaaa"} } } ] }
Ejemplo 2: Permitir las conexiones solo a través de los puntos de conexión de la interfaz mediante aws:sourceVpce
La siguiente política solo permite las conexiones que se realizan a través de los puntos de conexión de interfaz especificados en la clave de condición aws:sourceVpce. Por ejemplo, el primer punto final de la interfaz podría permitir el acceso a través de la SageMaker consola. El segundo punto final de la interfaz podría permitir el acceso a través del SageMaker API.
{ "Id": "sagemaker-studio-example-2", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": ["vpce-111bbccc","vpce-111bbddd"] } } } ] }
La política incluye la acción DescribeUserProfile. Normalmente, se llama a DescribeUserProfile para comprobar que el estado del perfil de usuario es InService antes de intentar conectarse al dominio. Por ejemplo:
aws sagemaker describe-user-profile \ --domain-iddomain-id\ --user-profile-nameprofile-name
Respuesta:
{ "DomainId": "domain-id", "UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name", "UserProfileName": "profile-name", "HomeEfsFileSystemUid": "200001", "Status": "InService", "LastModifiedTime": 1605418785.555, "CreationTime": 1605418477.297 }
aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name
Respuesta:
{ "AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken" }
Para estas dos llamadas, si utiliza una versión de la AWS SDK publicada antes del 13 de agosto de 2018, debe especificar el punto final URL de la llamada. Por ejemplo, en el siguiente ejemplo se muestra una llamada a create-presigned-domain-url:
aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name\ --endpoint-urlvpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com
Ejemplo 3: Permitir las conexiones desde las direcciones IP mediante aws:SourceIp
La siguiente política permite las conexiones solo desde el rango especificado de direcciones IP mediante la clave de condición aws:SourceIp.
{ "Id": "sagemaker-studio-example-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "IpAddress": { "aws:SourceIp": ["192.0.2.0/24","203.0.113.0/24"] } } } ] }
Ejemplo 4: Permitir las conexiones desde las direcciones IP a través de un punto de conexión de interfaz mediante aws:VpcSourceIp
Si accedes a Studio o Studio Classic a través de un extremo de interfaz, puedes usar la clave de aws:VpcSourceIp condición para permitir conexiones únicamente desde el rango especificado de direcciones IP dentro de la subred en la que creaste el punto final de la interfaz, tal y como se muestra en la siguiente política:
{ "Id": "sagemaker-studio-example-4", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "IpAddress": { "aws:VpcSourceIp": ["192.0.2.0/24","203.0.113.0/24"] }, "StringEquals": { "aws:SourceVpc":"vpc-111bbaaa"} } } ] }
