Connect ke Instance Notebook Melalui VPC Endpoint Antarmuka - Amazon SageMaker
Hubungkan Jaringan Pribadi Anda ke Jaringan Anda VPCMembuat Kebijakan VPC Endpoint untuk Instans SageMaker NotebookBatasi Akses ke Koneksi dari Dalam Anda VPC

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Connect ke Instance Notebook Melalui VPC Endpoint Antarmuka

Anda dapat terhubung ke instance notebook dari titik akhir antarmuka di Virtual Private Cloud (VPC) alih-alih terhubung melalui internet publik. VPC Saat Anda menggunakan titik akhir VPC antarmuka, komunikasi antara instans Anda VPC dan notebook dilakukan sepenuhnya dan aman di dalam AWS jaringan.

SageMaker instance notebook mendukung titik akhir antarmuka Amazon Virtual Private Cloud (AmazonVPC) yang didukung oleh AWS PrivateLink. Setiap VPC titik akhir diwakili oleh satu atau lebih Antarmuka Jaringan Elastis dengan alamat IP pribadi di subnet AndaVPC.

catatan

Sebelum Anda membuat VPC titik akhir antarmuka untuk terhubung ke instance notebook, buat VPC titik akhir antarmuka untuk terhubung ke. SageMaker API Dengan begitu, saat pengguna menelepon 
CreatePresignedNotebookInstanceUrluntuk mendapatkan koneksi URL ke instance notebook, panggilan itu juga melewati VPC titik akhir antarmuka. Untuk informasi, lihat Connect ke SageMaker Dalam VPC.

Anda dapat membuat titik akhir antarmuka untuk terhubung ke instance notebook Anda dengan salah satu AWS Management Console atau AWS Command Line Interface (AWS CLI) perintah. Untuk instruksi, lihat Membuat Titik Akhir Antarmuka. Pastikan Anda membuat titik akhir antarmuka untuk semua subnet yang ingin Anda VPC sambungkan ke instance notebook.

Saat Anda membuat titik akhir antarmuka, tentukan aws.sagemaker.Region.notebook sebagai nama layanan. Setelah Anda membuat VPC endpoint, aktifkan private DNS untuk VPC endpoint Anda. Siapa pun yang menggunakan SageMaker API, AWS CLI, atau konsol untuk terhubung ke instance notebook dari dalam VPC terhubung ke instance notebook melalui VPC titik akhir alih-alih internet publik.

SageMaker instance notebook mendukung VPC titik akhir di semua Wilayah AWS di mana Amazon VPC dan SageMakertersedia.

Untuk terhubung ke instans notebook Anda melalui AndaVPC, Anda harus terhubung dari instans yang ada di dalamVPC, atau menghubungkan jaringan pribadi Anda ke Anda VPC dengan menggunakan AWS Virtual Private Network (AWS VPN) atau AWS Direct Connect. Untuk informasi tentang AWS VPN Lihat VPNKoneksi di Panduan Pengguna Amazon Virtual Private Cloud. Untuk informasi tentang AWS Direct Connect, lihat Membuat Koneksi di AWS Panduan Pengguna Direct Connect.

Anda dapat membuat kebijakan untuk VPC titik akhir Amazon untuk instance SageMaker notebook untuk menentukan hal berikut:

  • Prinsipal yang dapat melakukan tindakan.

  • Tindakan yang dapat dilakukan.

  • Sumber daya yang menjadi target tindakan.

Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan VPC Titik Akhir di Panduan VPC Pengguna Amazon.

Contoh kebijakan VPC endpoint berikut menetapkan bahwa semua pengguna yang memiliki akses ke titik akhir diizinkan untuk mengakses instance notebook bernama. myNotebookInstance

{
  "Statement": [
      {
          "Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance",
          "Principal": "*"
      }
  ]
}

Akses ke instance notebook lainnya ditolak.

Bahkan jika Anda mengatur titik akhir antarmuka di AndaVPC, orang-orang di luar VPC dapat terhubung ke instance notebook melalui internet.

penting

Jika Anda menerapkan IAM kebijakan yang serupa dengan salah satu kebijakan berikut, pengguna tidak dapat mengakses instans yang ditentukan SageMaker APIs atau notebook melalui konsol.

Untuk membatasi akses hanya ke koneksi yang dibuat dari dalam AndaVPC, buat AWS Identity and Access Management kebijakan yang membatasi akses ke hanya panggilan yang datang dari dalam AndaVPC. Kemudian tambahkan kebijakan itu ke setiap AWS Identity and Access Management pengguna, grup, atau peran yang digunakan untuk mengakses instance notebook.

catatan

Kebijakan ini hanya mengizinkan koneksi ke penelepon dalam subnet tempat Anda membuat titik akhir antarmuka.

{
    "Id": "notebook-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable Notebook Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedNotebookInstanceUrl",
                "sagemaker:DescribeNotebookInstance"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}

Jika Anda ingin membatasi akses ke instance notebook hanya untuk koneksi yang dibuat menggunakan titik akhir antarmuka, gunakan tombol aws:SourceVpce kondisi alih-alih aws:SourceVpc:

{
    "Id": "notebook-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable Notebook Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedNotebookInstanceUrl",
                "sagemaker:DescribeNotebookInstance"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}

Kedua contoh kebijakan ini mengasumsikan bahwa Anda juga telah membuat titik akhir antarmuka untuk. SageMaker API Untuk informasi selengkapnya, lihat Connect ke SageMaker Dalam VPC. Pada contoh kedua, salah satu nilai untuk aws:SourceVpce adalah ID titik akhir antarmuka untuk instance notebook. Yang lainnya adalah ID dari titik akhir antarmuka untuk. SageMaker API

Contoh kebijakan di sini termasuk 
 DescribeNotebookInstance, karena biasanya Anda akan menelepon DescribeNotebookInstance untuk memastikan bahwa NotebookInstanceStatus ada InService sebelum Anda mencoba menghubungkannya. Sebagai contoh:

aws sagemaker describe-notebook-instance \
                    --notebook-instance-name myNotebookInstance
                    
                    
{
   "NotebookInstanceArn":
   "arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance",
   "NotebookInstanceName": "myNotebookInstance",
   "NotebookInstanceStatus": "InService",
   "Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws",
   "InstanceType": "ml.m4.xlarge",
   "RoleArn":
   "arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456",
   "LastModifiedTime": 1540334777.501,
   "CreationTime": 1523050674.078,
   "DirectInternetAccess": "Disabled"
}
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance
                
                
{
   "AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=AuthToken
}
catatan

Yangpresigned-notebook-instance-url,AuthorizedUrl, dihasilkan dapat digunakan dari mana saja di internet.

Untuk kedua panggilan ini, jika Anda tidak mengaktifkan DNS nama host pribadi untuk VPC titik akhir Anda, atau jika Anda menggunakan versi AWS SDKyang dirilis sebelum 13 Agustus 2018, Anda harus menentukan titik akhir URL dalam panggilan. Misalnya, panggilan ke create-presigned-notebook-instance-url adalah:

aws sagemaker create-presigned-notebook-instance-url
    --notebook-instance-name myNotebookInstance --endpoint-url
    VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com