Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Connectez-vous à SageMaker Studio Classic via un point de terminaison VPC d'interface
Vous pouvez vous connecter à Amazon SageMaker Studio Classic depuis votre Amazon Virtual Private Cloud (Amazon VPC) via un point de terminaison d'interface dans votre VPC au lieu de vous connecter via Internet. Lorsque vous utilisez un point de terminaison VPC d'interface (point de terminaison d'interface), la communication entre votre VPC et Studio Classic s'effectue de manière entièrement et sécurisée au sein du réseau. AWS
SageMaker Studio Classic prend en charge les points de terminaison d'interface alimentés par AWS PrivateLink. Chaque point de terminaison d'interface est représenté par une ou plusieurs interfaces réseau Elastic avec des adresses IP privées dans vos sous-réseaux VPC.
Studio Classic prend en charge les points de terminaison d'interface dans toutes les AWS régions où Amazon SageMaker
Rubriques
Création d'un point de terminaison de VPC
Vous pouvez créer un point de terminaison d'interface pour vous connecter à Studio Classic à l'aide de la AWS console ou du AWS Command Line Interface (AWS CLI). Pour obtenir des instructions, veuillez consulter Création d'un point de terminaison d'interface. Assurez-vous de créer des points de terminaison d'interface pour tous les sous-réseaux de votre VPC à partir desquels vous souhaitez vous connecter à Studio Classic.
Lorsque vous créez un point de terminaison d'interface, assurez-vous que les groupes de sécurité de votre point de terminaison autorisent l'accès entrant au trafic HTTPS en provenance des groupes de sécurité associés à SageMaker Studio Classic. Pour plus d'informations, veuillez consulter Contrôler l'accès aux services avec les points de terminaison d'un VPC.
Note
Outre la création d'un point de terminaison d'interface pour se connecter à SageMaker Studio Classic, créez un point de terminaison d'interface pour vous connecter à l' SageMaker API Amazon. Lorsque les utilisateurs appellent CreatePresignedDomainUrlpour obtenir l'URL de connexion à Studio Classic, cet appel passe par le point de terminaison de l'interface utilisé pour se connecter à l' SageMakerAPI.
Lorsque vous créez le point de terminaison d'interface, spécifiez le nom du service aws.sagemaker.. Une fois que vous avez créé un point de terminaison d'un VPC, activez le DNS privé pour votre point de terminaison. Lorsque vous vous connectez à SageMaker Studio Classic depuis le VPC à l'aide de l' SageMaker API, de la console ou de la consoleAWS CLI, vous vous connectez via le point de terminaison de l'interface plutôt que via Internet public. Vous devez également configurer un DNS personnalisé avec des zones hébergées privées pour le point de terminaison Amazon VPC afin que SageMaker Studio Classic puisse accéder à l' SageMaker API en utilisant le point de Region.studioapi.sagemaker.$region.amazonaws.com terminaison plutôt qu'en utilisant l'URL du point de terminaison VPC. Pour plus d'informations sur la configuration d'une zone hébergée privée, veuillez consulter Utilisation des zones hébergées privées.
Création d'une politique de point de terminaison VPC pour Studio Classic SageMaker
Vous pouvez associer une politique de point de terminaison Amazon VPC aux points de terminaison VPC d'interface que vous utilisez pour vous connecter à Studio Classic. SageMaker La politique relative aux terminaux contrôle l'accès à Studio Classic. Vous pouvez spécifier les valeurs suivantes :
-
Le principal qui peut exécuter des actions.
-
Les actions qui peuvent être effectuées.
-
Les ressources sur lesquelles les actions peuvent être exécutées.
Pour utiliser un point de terminaison VPC avec SageMaker Studio Classic, votre politique de point de terminaison doit autoriser l'CreateAppopération sur le type d' KernelGateway application. Cela permet au trafic acheminé vers via le point de terminaison d'un VPC d'appeler l'API CreateApp. L'exemple de politique de point de terminaison d'un VPC suivante montre comment autoriser l'opération CreateApp.
{ "Statement": [ { "Action": "sagemaker:CreateApp", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*", "Principal": "*" } ] }
Pour plus d'informations, veuillez consulter Contrôler l'accès aux services avec les points de terminaison d'un VPC.
L'exemple suivant de politique de point de terminaison VPC indique que tous les utilisateurs ayant accès au point de terminaison sont autorisés à accéder aux profils utilisateur du SageMaker domaine avec l'ID de domaine spécifié. L'accès aux autres domaines est refusé.
{ "Statement": [ { "Action": "sagemaker:CreatePresignedDomainUrl", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*", "Principal": "*" } ] }
Autoriser l'accès uniquement à partir de votre VPC
Les utilisateurs extérieurs à votre VPC peuvent se connecter à SageMaker Studio Classic via Internet même si vous avez configuré un point de terminaison d'interface dans votre VPC.
Pour autoriser l'accès aux seules connexions effectuées depuis votre VPC, créez une politique AWS Identity and Access Management (IAM) à cet effet. Ajoutez cette politique à chaque utilisateur, groupe ou rôle utilisé pour accéder à Studio Classic. Cette fonctionnalité est uniquement prise en charge en mode IAM et ne l'est pas en mode IAM Identity Center. Les exemples suivants montrent comment créer de telles politiques.
Important
Si vous appliquez une politique IAM similaire à l'un des exemples suivants, les utilisateurs ne peuvent pas accéder à SageMaker Studio Classic ou aux SageMaker API spécifiées via la SageMaker console. Pour accéder à Studio Classic, les utilisateurs doivent utiliser une URL présignée ou appeler directement les SageMaker API.
Exemple 1 : Autoriser les connexions uniquement dans le sous-réseau d'un point de terminaison d'interface
La politique suivante autorise les connexions uniquement pour les appelants dans le sous-réseau où vous avez créé le point de terminaison d'interface.
{ "Id": "sagemaker-studio-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc":"vpc-111bbaaa"} } } ] }
Exemple 2 : Autoriser les connexions uniquement via les points de terminaison d'interface en utilisant aws:sourceVpce
La politique suivante n'autorise les connexions qu'à celles effectuées via les points de terminaison d'interface spécifiés par la clé de condition aws:sourceVpce. Par exemple, le point de terminaison de la première interface peut autoriser l'accès via la SageMaker console. Le deuxième point de terminaison de l'interface pourrait autoriser l'accès via l' SageMaker API.
{ "Id": "sagemaker-studio-example-2", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": ["vpce-111bbccc","vpce-111bbddd"] } } } ] }
Cette politique inclut l'action DescribeUserProfile. Généralement, vous appelez DescribeUserProfile pour vérifier que l'état du profil utilisateur est InService avant d'essayer de vous connecter au domaine. Par exemple :
aws sagemaker describe-user-profile \ --domain-iddomain-id\ --user-profile-nameprofile-name
Réponse :
{ "DomainId": "domain-id", "UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name", "UserProfileName": "profile-name", "HomeEfsFileSystemUid": "200001", "Status": "InService", "LastModifiedTime": 1605418785.555, "CreationTime": 1605418477.297 }
aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name
Réponse :
{ "AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken" }
Pour ces deux appels, si vous utilisez une version du kit SDK AWS publiée avant le 13 août 2018, vous devez spécifier l'URL du point de terminaison dans l'appel. Par exemple, l'exemple suivant illustre un appel à create-presigned-domain-url :
aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name\ --endpoint-urlvpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com
Exemple 3 : Autoriser les connexions à partir d'adresses IP en utilisant aws:SourceIp
La politique suivante autorise les connexions uniquement à partir de la plage d'adresses IP spécifiée à l'aide de la clé de condition aws:SourceIp.
{ "Id": "sagemaker-studio-example-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "IpAddress": { "aws:SourceIp": ["192.0.2.0/24","203.0.113.0/24"] } } } ] }
Exemple 4 : Autoriser les connexions à partir d'adresses IP via un point de terminaison d'interface en utilisant aws:VpcSourceIp
Si vous accédez à SageMaker Studio Classic via un point de terminaison d'interface, vous pouvez utiliser la clé de aws:VpcSourceIp condition pour autoriser les connexions uniquement à partir de la plage d'adresses IP spécifiée au sein du sous-réseau dans lequel vous avez créé le point de terminaison d'interface, comme indiqué dans la politique suivante :
{ "Id": "sagemaker-studio-example-4", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "IpAddress": { "aws:VpcSourceIp": ["192.0.2.0/24","203.0.113.0/24"] }, "StringEquals": { "aws:SourceVpc":"vpc-111bbaaa"} } } ] }
