Connexion à SageMaker via un point de terminaison d'interface VPC - Amazon SageMaker

Connexion à SageMaker via un point de terminaison d'interface VPC

Au lieu de vous connecter à Internet, vous pouvez vous connecter directement à l'API SageMaker ou à SageMaker Runtime via un point de terminaison d'interface de votre Virtual Private Cloud (VPC). Lorsque vous utilisez un point de terminaison d'interface VPC, la communication entre votre VPC et l'API SageMaker ou Runtime est gérée entièrement au sein du réseau AWS.

L'API SageMaker et Runtime prennent en charge les points de terminaison d'interface d'Amazon Virtual Private Cloud (Amazon VPC) à technologie AWS PrivateLink. Chaque point de terminaison d'un VPC est représenté par une ou plusieurs interfaces réseau Elastic avec des adresses IP privées dans vos sous-réseaux VPC.

Le point de terminaison d'interface VPC connecte votre VPC directement à l'API ou SageMaker Runtime sans passerelle Internet, périphérique NAT, connexion VPN ou connexion AWS Direct Connect. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec l'API ou SageMaker Runtime.

Vous pouvez créer un point de terminaison d'interface pour vous connecter à SageMaker ou à SageMaker Runtime avec la console AWS ou les commandes de l'AWS Command Line Interface (AWS CLI). Pour obtenir des instructions, consultez Création d'un point de terminaison d'interface.

Une fois que vous avez créé un point de terminaison d'un VPC, vous pouvez utiliser les exemples de commandes de CLI qui utilisent le paramètre endpoint-url pour spécifier des points de terminaison d'interface à l'API ou à SageMaker Runtime :

aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker-runtime invoke-endpoint --endpoint-url VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \ --endpoint-name Endpoint_Name \ --body "Endpoint_Body" \ --content-type "Content_Type" \ Output_File

Si vous activez des noms d'hôte DNS privés pour votre point de terminaison de VPC, il n'est pas nécessaire d'indiquer l'URL du point de terminaison. Le nom d'hôte DNS de l'API SageMaker que la CLI et le kit SDK SageMaker utilisent par défaut (https://api.sagemaker.Region.amazonaws.com) est résolu par le point de terminaison de votre VPC. De même, le nom d'hôte DNS de SageMaker Runtime que la CLI et le kit SDK SageMaker Runtime utilisent par défaut (https://runtime.sagemaker.Region.amazonaws.com) est résolu par le point de terminaison de votre VPC.

L'API SageMaker et Runtime prennent en charge les points de terminaison d'un VPC dans toutes les régions AWS où Amazon VPC et SageMaker sont disponibles. SageMaker prend en charge l'exécution d'appels en direction de toutes ses Operations à l'intérieur de votre VPC. Le résultat AuthorizedUrl de CreatePresignedNotebookInstanceUrl n'est pas pris en charge par AWS PrivateLink. Pour obtenir des informations sur l'activation de AWS PrivateLink pour l'URL autorisée que les utilisateurs utilisent pour se connecter à une instance de bloc-notes, veuillez consulter Connexion à une instance de bloc-notes via un point de terminaison d'interface VPC..

Pour en savoir plus sur AWS PrivateLink, veuillez consulter Documentation AWS PrivateLink. Veuillez consulter la tarification de VPC pour connaître le prix des points de terminaison d'un VPC. Pour en savoir plus sur les VPC et les points de terminaison, consultez Amazon VPC. Pour obtenir des informations sur l'utilisation des politiques AWS Identity and Access Management basées sur une identité pour restreindre l'accès à l'API SageMaker et à l'exécution, veuillez consulter Contrôle de l'accès à l'API SageMaker à l'aide de politiques basées sur l'identité.

Vous pouvez créer une politique pour les points de terminaison d'un VPC pour SageMaker dans laquelle vous pouvez spécifier :

  • Le principal qui peut exécuter des actions.

  • Les actions qui peuvent être effectuées.

  • Les ressources sur lesquelles les actions peuvent être exécutées.

Pour plus d'informations, veuillez consulter Contrôle de l'accès aux services avec des points de terminaison d'un VPC dans le Amazon VPC Guide de l'utilisateur.

Note

Les politiques de point de terminaison d'un VPC ne sont pas prises en charge pour les points de terminaison d'exécution SageMaker FIPS (Federal Information Processing Standard) pour runtime_InvokeEndpoint.

L'exemple suivant de politique de point de terminaison d'un VPC spécifie que tous les utilisateurs qui ont accès au point de terminaison de l'interface VPC sont autorisés à appeler le point de terminaison hébergé par SageMaker, nommé myEndpoint.

{ "Statement": [ { "Action": "sagemaker:InvokeEndpoint", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint", "Principal": "*" } ] }

Dans cet exemple, les éléments suivants sont refusés :

  • Autres actions d'API SageMaker, telles que sagemaker:CreateEndpoint et sagemaker:CreateTrainingJob.

  • Appel des points de terminaison hébergés par SageMaker autres que myEndpoint.

Note

Dans cet exemple, les utilisateurs peuvent encore entreprendre d'autres actions d'API SageMaker depuis l'extérieur du VPC. Pour obtenir des informations sur la façon de restreindre les appels d'API à ceux situés dans le VPC, veuillez consulter Contrôle de l'accès à l'API SageMaker à l'aide de politiques basées sur l'identité.

Pour créer un point de terminaison d'un VPC pour Amazon SageMaker Feature Store, utilisez le modèle de point de terminaison suivant, en remplaçant votre VPC_Endpoint_ID.api et votre région) :

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

Pour appeler l'API et l'exécution SageMaker via votre VPC, vous devez vous connecter à partir d'une instance située dans le VPC ou connecter votre réseau privé à votre VPC à l'aide d'un AWS Virtual Private Network (AWS VPN) ou d'AWS Direct Connect. Pour obtenir des informations sur AWS VPN, veuillez consulter la rubrique Connexions VPN du Guide de l'utilisateur du cloud privé virtuel Amazon. Pour obtenir des informations sur AWS Direct Connect, veuillez consulter Création d'une connexion dans le Guide de l'utilisateur AWS Direct Connect.