Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Connectez-vous à Amazon SageMaker Studio et Studio Classic via un point de VPC terminaison d'interface
Vous pouvez vous connecter à Amazon SageMaker Studio et à Amazon SageMaker Studio Classic depuis votre Amazon Virtual Private Cloud (AmazonVPC) via un point de terminaison d'interface installé dans votre VPC ordinateur au lieu de vous connecter via Internet. Lorsque vous utilisez un point de VPC terminaison d'interface (point de terminaison d'interface), la communication entre vous VPC et Studio ou Studio Classic s'effectue de manière entièrement et sécurisée au sein du AWS réseau.
Studio et Studio Classic prennent en charge les points de terminaison d'interface alimentés par AWS PrivateLink. Chaque point de terminaison d'interface est représenté par une ou plusieurs interfaces réseau Elastic avec des adresses IP privées dans vos VPC sous-réseaux.
Studio et Studio Classic prennent en charge les points de terminaison d'interface dans toutes les AWS régions où Amazon SageMaker
Rubriques
Création d'un point de terminaison VPC
Vous pouvez créer un point de terminaison d'interface pour vous connecter à Studio ou à Studio Classic à l'aide de la AWS console ou du AWS Command Line Interface (AWS CLI). Pour obtenir des instructions, veuillez consulter Création d'un point de terminaison d'interface. Assurez-vous de créer des points de terminaison d'interface pour tous les sous-réseaux à VPC partir desquels vous souhaitez vous connecter à Studio et à Studio Classic.
Lorsque vous créez un point de terminaison d'interface, assurez-vous que les groupes de sécurité de votre point de terminaison autorisent l'accès entrant au HTTPS trafic provenant des groupes de sécurité associés à Studio et Studio Classic. Pour plus d'informations, voir Contrôler l'accès aux services à l'aide de VPC points de terminaison.
Note
En plus de créer un point de terminaison d'interface pour se connecter à Studio et à Studio Classic, créez un point de terminaison d'interface pour vous connecter à Amazon SageMaker API. Lorsque les utilisateurs appellent CreatePresignedDomainUrlpour se connecter URL à Studio et Studio Classic, cet appel passe par le point de terminaison de l'interface utilisé pour se connecter au SageMaker API.
Lorsque vous créez le point de terminaison de l'interface, spécifiez-le aws.sagemaker. comme nom de service pour Studio ou Studio Classic. Après avoir créé le point de terminaison de l'interface, activez le mode privé DNS pour votre point de terminaison. Lorsque vous vous connectez à Studio ou à Studio Classic depuis la VPC console SageMaker API, vous vous connectez via le point de terminaison de l'interface plutôt que via Internet public. AWS CLI Vous devez également configurer une zone personnalisée DNS avec des zones hébergées privées pour le point de VPC terminaison Amazon afin que Studio ou Studio Classic puissent y accéder SageMaker API en utilisant le Region.studioapi.sagemaker.$region.amazonaws.com point de terminaison plutôt qu'en utilisant le VPC point de terminaisonURL. Pour plus d'informations sur la configuration d'une zone hébergée privée, veuillez consulter Utilisation des zones hébergées privées.
Création d'une politique de VPC point de terminaison pour Studio ou Studio Classic
Vous pouvez associer une politique de point de VPC terminaison Amazon aux VPC points de terminaison de l'interface que vous utilisez pour vous connecter à Studio ou à Studio Classic. La politique relative aux terminaux contrôle l'accès à Studio ou à Studio Classic. Vous pouvez spécifier les valeurs suivantes :
-
Le principal qui peut exécuter des actions.
-
Les actions qui peuvent être effectuées.
-
Les ressources sur lesquelles les actions peuvent être exécutées.
Pour utiliser un VPC point de terminaison avec Studio ou Studio Classic, votre politique de point de terminaison doit autoriser l'CreateAppopération sur le type d' KernelGateway application. Cela permet au trafic acheminé via le VPC point de terminaison d'appeler le CreateAppAPI. L'exemple de politique de VPC point de terminaison suivant montre comment autoriser l'CreateAppopération.
{ "Statement": [ { "Action": "sagemaker:CreateApp", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*", "Principal": "*" } ] }
Pour plus d'informations, consultez la section Contrôle de l'accès aux services à l'aide de VPC points de terminaison.
L'exemple suivant de politique de point de VPC terminaison indique que tous les utilisateurs ayant accès au point de terminaison sont autorisés à accéder aux profils utilisateur du SageMaker domaine avec l'ID de domaine spécifié. L'accès aux autres domaines est refusé.
{ "Statement": [ { "Action": "sagemaker:CreatePresignedDomainUrl", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*", "Principal": "*" } ] }
Autoriser l'accès uniquement depuis votre VPC
Les utilisateurs extérieurs à vous VPC peuvent se connecter à Studio ou à Studio Classic via Internet, même si vous avez configuré un point de terminaison d'interface dans votreVPC.
Pour autoriser l'accès uniquement aux connexions établies depuis votre ordinateurVPC, créez une politique AWS Identity and Access Management (IAM) à cet effet. Ajoutez cette politique à chaque utilisateur, groupe ou rôle utilisé pour accéder à Studio ou Studio Classic. Cette fonctionnalité n'est prise en charge que lors de l'utilisation du IAM mode d'authentification et n'est pas prise en charge en mode IAM Identity Center. Les exemples suivants montrent comment créer de telles politiques.
Important
Si vous appliquez une IAM politique similaire à l'un des exemples suivants, les utilisateurs ne peuvent pas accéder à Studio ou à Studio Classic ou à la politique spécifiée SageMaker APIs via la SageMaker console. Pour accéder à Studio ou Studio Classic, les utilisateurs doivent utiliser un présigné URL ou appeler SageMaker APIs directement le.
Exemple 1 : Autoriser les connexions uniquement dans le sous-réseau d'un point de terminaison d'interface
La politique suivante autorise les connexions uniquement pour les appelants dans le sous-réseau où vous avez créé le point de terminaison d'interface.
{ "Id": "sagemaker-studio-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc":"vpc-111bbaaa"} } } ] }
Exemple 2 : Autoriser les connexions uniquement via les points de terminaison d'interface en utilisant aws:sourceVpce
La politique suivante n'autorise les connexions qu'à celles effectuées via les points de terminaison d'interface spécifiés par la clé de condition aws:sourceVpce. Par exemple, le point de terminaison de la première interface peut autoriser l'accès via la SageMaker console. Le deuxième point de terminaison de l'interface pourrait autoriser l'accès via le SageMaker API.
{ "Id": "sagemaker-studio-example-2", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": ["vpce-111bbccc","vpce-111bbddd"] } } } ] }
Cette politique inclut l'action DescribeUserProfile. Généralement, vous appelez DescribeUserProfile pour vérifier que l'état du profil utilisateur est InService avant d'essayer de vous connecter au domaine. Par exemple :
aws sagemaker describe-user-profile \ --domain-iddomain-id\ --user-profile-nameprofile-name
Réponse :
{ "DomainId": "domain-id", "UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name", "UserProfileName": "profile-name", "HomeEfsFileSystemUid": "200001", "Status": "InService", "LastModifiedTime": 1605418785.555, "CreationTime": 1605418477.297 }
aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name
Réponse :
{ "AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken" }
Pour ces deux appels, si vous utilisez une version publiée avant le AWS SDK 13 août 2018, vous devez spécifier le point de terminaison URL dans l'appel. Par exemple, l'exemple suivant illustre un appel à create-presigned-domain-url :
aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name\ --endpoint-urlvpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com
Exemple 3 : Autoriser les connexions à partir d'adresses IP en utilisant aws:SourceIp
La politique suivante autorise les connexions uniquement à partir de la plage d'adresses IP spécifiée à l'aide de la clé de condition aws:SourceIp.
{ "Id": "sagemaker-studio-example-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "IpAddress": { "aws:SourceIp": ["192.0.2.0/24","203.0.113.0/24"] } } } ] }
Exemple 4 : Autoriser les connexions à partir d'adresses IP via un point de terminaison d'interface en utilisant aws:VpcSourceIp
Si vous accédez à Studio ou Studio Classic via un point de terminaison d'interface, vous pouvez utiliser la clé de aws:VpcSourceIp condition pour autoriser les connexions uniquement à partir de la plage d'adresses IP spécifiée au sein du sous-réseau où vous avez créé le point de terminaison d'interface, comme indiqué dans la politique suivante :
{ "Id": "sagemaker-studio-example-4", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "IpAddress": { "aws:VpcSourceIp": ["192.0.2.0/24","203.0.113.0/24"] }, "StringEquals": { "aws:SourceVpc":"vpc-111bbaaa"} } } ] }
