Communication VPC only avec Internet Exigences pour utiliser le mode VPC only

Utilisez les fonctionnalités SageMaker géospatiales d'Amazon dans votre Amazon Virtual Private Cloud

La rubrique suivante explique comment utiliser des SageMaker blocs-notes contenant une image SageMaker géospatiale dans un SageMaker domaine Amazon en mode VPC uniquement. Pour plus d'informations sur VPCs Amazon SageMaker Studio Classic, consultez Choose an Amazon VPC.

Communication `VPC only` avec Internet

Par défaut, le SageMaker domaine utilise deux AmazonVPC. L'un des Amazon VPC est géré par Amazon SageMaker et fournit un accès direct à Internet. Vous spécifiez l'autre AmazonVPC, qui fournit le trafic chiffré entre le domaine et votre volume Amazon Elastic File System (AmazonEFS).

Vous pouvez modifier ce comportement afin que tout le SageMaker trafic passe par l'Amazon que vous avez spécifiéVPC. S'il VPC only a été choisi comme mode d'accès réseau lors de la création du SageMaker domaine, les exigences suivantes doivent être prises en compte pour continuer à autoriser l'utilisation des blocs-notes SageMaker Studio Classic au sein du domaine créé SageMaker .

Exigences pour utiliser le mode `VPC only`

Note

Pour utiliser les composants de visualisation des fonctionnalités SageMaker géospatiales, le navigateur que vous utilisez pour accéder à l'interface utilisateur de SageMaker Studio Classic doit être connecté à Internet.

Si vous avez choisi VpcOnly, procédez comme suit :

Vous devez utiliser des sous-réseaux privés uniquement. Vous ne pouvez pas utiliser de sous-réseaux publics en mode VpcOnly.
Assurez-vous que vos sous-réseaux disposent du nombre requis d'adresses IP. Le nombre prévu d'adresses IP nécessaires par utilisateur peut varier en fonction du cas d'utilisation. Nous recommandons entre 2 et 4 adresses IP par utilisateur. La capacité totale d'adresses IP d'un domaine Studio Classic est la somme des adresses IP disponibles pour chaque sous-réseau fourni lors de la création du domaine. Veillez à ce que votre utilisation estimée d'adresses IP ne dépasse pas la capacité prise en charge par le nombre de sous-réseaux que vous fournissez. En outre, l'utilisation de sous-réseaux répartis dans de nombreuses zones de disponibilité peut favoriser la disponibilité d'adresses IP. Pour plus d'informations, consultez la section VPCet le dimensionnement des sous-réseaux pour. IPv4

Note
Vous ne pouvez configurer que des sous-réseaux dotés d'une location par défaut VPC dans lesquels votre instance s'exécute sur du matériel partagé. Pour plus d'informations sur l'attribut de location pourVPCs, consultez Instances dédiées.
Configurez un ou plusieurs groupes de sécurité avec des règles entrantes et sortantes qui, ensemble, autorisent le trafic suivant :
- NFStrafic dépassé TCP sur le port 2049 entre le domaine et le EFS volume Amazon.
- TCPtrafic au sein du groupe de sécurité. Cela est nécessaire pour la connectivité entre l' JupyterServer application et les KernelGateway applications. Vous devez autoriser l'accès à au moins des ports situés dans la plage 8192-65535.
Si vous souhaitez autoriser l'accès à Internet, vous devez utiliser une NATpasserelle avec accès à Internet, par exemple via une passerelle Internet.
Si vous ne souhaitez pas autoriser l'accès à Internet, créez des VPC points de terminaison d'interface (AWS PrivateLink) pour permettre à Studio Classic d'accéder aux services suivants avec les noms de service correspondants. Vous devez également associer les groupes de sécurité qui vous concernent VPC à ces points de terminaison.

Note
Actuellement, les capacités SageMaker géospatiales ne sont prises en charge que dans la région ouest des États-Unis (Oregon).
- SageMaker API : com.amazonaws.us-west-2.sagemaker.api
- SageMaker durée d'exécution :com.amazonaws.us-west-2.sagemaker.runtime. Cela est nécessaire pour exécuter les blocs-notes Studio Classic avec une image SageMaker géospatiale.
- Simple Storage Service (Amazon S3) : com.amazonaws.us-west-2.s3.
- Pour utiliser SageMaker les projets :com.amazonaws.us-west-2.servicecatalog.
- SageMaker capacités géospatiales : com.amazonaws.us-west-2.sagemaker-geospatial
Si vous utilisez le SageMaker Python SDK pour exécuter des tâches de formation à distance, vous devez également créer les VPC points de terminaison Amazon suivants.
- AWS Security Token Service: com.amazonaws.region.sts
- Amazon CloudWatch:com.amazonaws.region.logs. Cela est nécessaire pour permettre à SageMaker Python d'SDKobtenir le statut de la tâche de formation à distance auprès de Amazon CloudWatch.

Note

Pour un client travaillant VPC en mode, les pare-feux de l'entreprise peuvent entraîner des problèmes de connexion avec SageMaker Studio Classic ou entre JupyterServer et le KernelGateway. Effectuez les vérifications suivantes si vous rencontrez l'un de ces problèmes lorsque vous utilisez SageMaker Studio Classic derrière un pare-feu.

Vérifiez que le Studio Classic URL figure dans la liste d'autorisation de votre réseau.
Vérifiez que les connexions WebSocket ne sont pas bloquées. Jupyter utilise WebSocket en arrière-plan. Si c'est le cas de KernelGateway l'application InService, il se JupyterServer peut que vous ne puissiez pas vous connecter au KernelGateway. Vous devriez voir ce problème également lors de l'ouverture du terminal système.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Bonnes pratiques de sécurité pour les SageMaker capacités géospatiales

Utiliser AWS KMS les autorisations pour les SageMaker fonctionnalités géospatiales