Connect ke Instance Notebook Melalui Endpoint Antarmuka VPC - Amazon SageMaker AI
Hubungkan jaringan pribadi Anda ke VPCBuat Kebijakan VPC Endpoint untuk SageMaker Instans Notebook AIBatasi Akses ke Koneksi dari Dalam VPC Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Connect ke Instance Notebook Melalui Endpoint Antarmuka VPC

Anda dapat terhubung ke instance buku catatan Anda dari VPC Anda melalui titik akhir antarmuka di Virtual Private Cloud (VPC) alih-alih terhubung melalui internet publik. Ketika Anda menggunakan titik akhir antarmuka VPC, komunikasi antara VPC dan Anda dilakukan sepenuhnya dan dengan aman di jaringan .

SageMaker mendukung titik akhir antarmuka Amazon Virtual Private Cloud (Amazon VPC) yang didukung oleh PrivateLink. Masing-masing VPC endpoint diwakili oleh satu atau lebih Antarmuka Jaringan Elastis (ENI) dengan alamat IP privat di subnet VPC Anda.

catatan

Sebelum Anda membuat titik akhir VPC antarmuka untuk terhubung ke instance notebook, buat titik akhir VPC antarmuka untuk terhubung ke API. SageMaker Dengan begitu, saat pengguna menelepon CreatePresignedNotebookInstanceUrluntuk mendapatkan URL untuk terhubung ke instance notebook, panggilan itu juga melewati titik akhir VPC antarmuka. Untuk informasi, lihat Connect ke SageMaker AI Dalam VPC Anda.

Anda dapat membuat titik akhir antarmuka untuk terhubung ke Amazon WorkSpaces dengan perintah AWS Management Console atau AWS Command Line Interface (AWS CLI). Untuk instruksi, lihat Membuat Titik Akhir Antarmuka. Pastikan Anda membuat titik akhir antarmuka untuk semua subnet di VPC yang ingin Anda sambungkan ke instance notebook.

Saat Anda membuat titik akhir antarmuka, tentukan aws.sagemaker. Region.notebook sebagai nama layanan. Setelah membuat titik akhir VPC antarmuka, Anda dapat mengaktifkan nama host DNS privat untuk titik akhir. Siapa pun yang menggunakan SageMaker API AWS CLI, the, atau konsol untuk terhubung ke instance notebook dari dalam VPC terhubung ke instance notebook melalui titik akhir VPC alih-alih internet publik.

SageMaker instance notebook mendukung titik akhir VPC di semua Wilayah AWS tempat Amazon SageMaker VPC dan AI tersedia.

Untuk memanggil Amazon WorkSpaces API melalui VPC Anda, Anda harus terhubung dari instans yang ada di dalam VPC, atau hubungkan jaringan privat ke VPC Anda dengan menggunakan AWS Virtual Private Network (AWS VPN) atau AWS Direct Connect. Untuk informasi selengkapnya, lihat AWS VPN Koneksi VPN di Panduan Pengguna Amazon Virtual Private Cloud. Untuk informasi tentang AWS Direct Connect, lihat Membuat hubungan di Panduan Pengguna AWS .

Anda dapat membuat kebijakan untuk Amazon VPC endpoint untuk Athena untuk menentukan berikut:

  • Prinsipal yang dapat melakukan tindakan.

  • Tindakan yang dapat dilakukan.

  • Sumber daya yang menjadi target tindakan.

Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan VPC Endpoint dalam Panduan Pengguna Amazon VPC.

Contoh kebijakan VPC endpoint berikut menentukan bahwa semua pengguna yang memiliki akses ke titik akhir diizinkan mengakses instance buku catatan bernama. myNotebookInstance

{
  "Statement": [
      {
          "Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance",
          "Principal": "*"
      }
  ]
}

Akses ke instance notebook lainnya ditolak.

Bahkan jika Anda mengatur titik akhir antarmuka di VPC Anda, individu di luar VPC dapat terhubung ke instance notebook melalui internet.

penting

Jika Anda menerapkan kebijakan IAM yang mirip dengan salah satu dari berikut ini, pengguna tidak dapat mengakses instans yang ditentukan SageMaker APIs atau notebook melalui konsol.

Untuk membatasi akses hanya ke koneksi yang dibuat dari dalam VPC Anda, buat kebijakan AWS Identity and Access Management yang membatasi akses hanya ke panggilan yang berasal dari dalam VPC Anda. Kemudian tambahkan kebijakan tersebut ke setiap AWS Identity and Access Management pengguna, grup, atau peran yang digunakan untuk mengakses instance notebook.

catatan

Kebijakan ini hanya mengizinkan koneksi ke penelepon dalam subnet tempat Anda membuat titik akhir antarmuka.

JSON
{
    "Id": "notebook-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableNotebookAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedNotebookInstanceUrl",
                "sagemaker:DescribeNotebookInstance"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}

Jika Anda ingin membatasi akses ke instance notebook hanya untuk koneksi yang dibuat menggunakan titik akhir antarmuka, gunakan tombol aws:SourceVpce kondisi sebagai ganti aws:SourceVpc:

JSON
{
    "Id": "notebook-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableNotebookAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedNotebookInstanceUrl",
                "sagemaker:DescribeNotebookInstance"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}

Kedua contoh kebijakan ini mengasumsikan bahwa Anda juga telah membuat titik akhir antarmuka untuk SageMaker API. Untuk informasi selengkapnya, lihat Connect ke SageMaker AI Dalam VPC Anda. Pada contoh kedua, salah satu nilai untuk aws:SourceVpce adalah ID titik akhir antarmuka untuk instance notebook. Yang lainnya adalah ID titik akhir antarmuka untuk SageMaker API.

Contoh kebijakan di sini termasuk DescribeNotebookInstance, karena biasanya Anda akan menelepon DescribeNotebookInstance untuk memastikan bahwa NotebookInstanceStatus ada InService sebelum Anda mencoba menghubungkannya. Misalnya:

aws sagemaker describe-notebook-instance \
                    --notebook-instance-name myNotebookInstance
                    
                    
{
   "NotebookInstanceArn":
   "arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance",
   "NotebookInstanceName": "myNotebookInstance",
   "NotebookInstanceStatus": "InService",
   "Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws",
   "InstanceType": "ml.m4.xlarge",
   "RoleArn":
   "arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456",
   "LastModifiedTime": 1540334777.501,
   "CreationTime": 1523050674.078,
   "DirectInternetAccess": "Disabled"
}
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance
                
                
{
   "AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=AuthToken
}
catatan

Yangpresigned-notebook-instance-url,AuthorizedUrl, dihasilkan dapat digunakan dari mana saja di internet.

Untuk kedua panggilan ini, jika Anda tidak mengaktifkan nama host DNS pribadi untuk titik akhir VPC Anda, atau jika Anda menggunakan versi AWS SDK yang dirilis sebelum 13 Agustus 2018, Anda harus menentukan URL titik akhir dalam panggilan. Misalnya, panggilan ke create-presigned-notebook-instance-url adalah:

aws sagemaker create-presigned-notebook-instance-url
    --notebook-instance-name myNotebookInstance --endpoint-url
    VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com