Connect ke Amazon SageMaker Studio dan Studio Classic Melalui VPC Endpoint Antarmuka

Anda dapat terhubung ke Amazon SageMaker Studio dan Amazon SageMaker Studio Classic dari Amazon Virtual Private Cloud (AmazonVPC) melalui titik akhir antarmuka di Anda VPC alih-alih terhubung melalui internet. Saat Anda menggunakan VPC titik akhir antarmuka (titik akhir antarmuka), komunikasi antara Anda VPC dan Studio atau Studio Classic dilakukan sepenuhnya dan aman di dalam AWS jaringan.

Studio dan Studio Classic mendukung titik akhir antarmuka yang didukung oleh AWS PrivateLink. Setiap titik akhir antarmuka diwakili oleh satu atau lebih antarmuka jaringan Elastis dengan alamat IP pribadi di subnet AndaVPC.

Studio dan Studio Classic mendukung titik akhir antarmuka di semua AWS Wilayah di mana Amazon SageMaker dan Amazon VPC tersedia.

Buat VPC Endpoint

Anda dapat membuat titik akhir antarmuka untuk terhubung ke Studio atau Studio Classic dengan salah satu AWS konsol atau AWS Command Line Interface (AWS CLI). Untuk petunjuk, lihat Membuat titik akhir antarmuka. Pastikan Anda membuat titik akhir antarmuka untuk semua subnet di mana Anda VPC ingin terhubung ke Studio dan Studio Classic.

Saat Anda membuat titik akhir antarmuka, pastikan bahwa grup keamanan di titik akhir Anda mengizinkan akses masuk untuk HTTPS lalu lintas dari grup keamanan yang terkait dengan Studio dan Studio Classic. Untuk informasi selengkapnya, lihat Mengontrol akses ke layanan dengan VPC titik akhir.

catatan

Selain membuat titik akhir antarmuka untuk terhubung ke Studio dan Studio Classic, buat titik akhir antarmuka untuk terhubung ke Amazon. SageMaker API Ketika pengguna memanggil CreatePresignedDomainUrluntuk menghubungkan URL ke Studio dan Studio Classic, panggilan itu melewati titik akhir antarmuka yang digunakan untuk terhubung ke file. SageMaker API

Saat Anda membuat titik akhir antarmuka, tentukan aws.sagemaker.Region.studio sebagai nama layanan untuk Studio atau Studio Classic. Setelah Anda membuat titik akhir antarmuka, aktifkan pribadi DNS untuk titik akhir Anda. Saat Anda terhubung ke Studio atau Studio Classic dari dalam VPC menggunakan SageMaker API, AWS CLI, atau konsol, Anda terhubung melalui titik akhir antarmuka alih-alih internet publik. Anda juga perlu menyiapkan kustom DNS dengan zona yang dihosting pribadi untuk VPC titik akhir Amazon sehingga Studio atau Studio Classic dapat mengakses SageMaker API menggunakan api.sagemaker.$region.amazonaws.com titik akhir daripada menggunakan titik akhir. VPC URL Untuk petunjuk cara menyiapkan zona host pribadi, lihat Bekerja dengan zona yang dihosting pribadi.

Membuat Kebijakan VPC Endpoint untuk Studio atau Studio Classic

Anda dapat melampirkan kebijakan VPC endpoint Amazon ke VPC titik akhir antarmuka yang Anda gunakan untuk menyambung ke Studio atau Studio Classic. Kebijakan endpoint mengontrol akses ke Studio atau Studio Classic. Anda dapat menentukan sebagai berikut:

• Prinsipal yang dapat melakukan tindakan.

• Tindakan yang dapat dilakukan.

• Sumber daya yang menjadi target tindakan.

Untuk menggunakan VPC endpoint dengan Studio atau Studio Classic, kebijakan endpoint Anda harus mengizinkan CreateApp pengoperasian pada jenis KernelGateway aplikasi. Hal ini memungkinkan lalu lintas yang diarahkan ke VPC titik akhir untuk memanggil. CreateApp API Contoh kebijakan VPC endpoint berikut menunjukkan cara mengizinkan CreateApp operasi.

{
 "Statement": [
   {
     "Action": "sagemaker:CreateApp",
     "Effect": "Allow",
     "Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*",
     "Principal": "*"
   }
 ]
}

Untuk informasi selengkapnya, lihat Mengontrol akses ke layanan dengan VPC titik akhir.

Contoh kebijakan VPC endpoint berikut menentukan bahwa semua pengguna yang memiliki akses ke titik akhir diizinkan untuk mengakses profil pengguna di SageMaker domain dengan ID domain yang ditentukan. Akses ke domain lain ditolak.

{
  "Statement": [
      {
          "Action": "sagemaker:CreatePresignedDomainUrl",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*",
          "Principal": "*"
      }
  ]
}

Izinkan Akses Hanya dari Dalam VPC

Pengguna di luar Anda VPC dapat terhubung ke Studio atau Studio Classic melalui internet bahkan jika Anda menyiapkan titik akhir antarmuka di situs AndaVPC.

Untuk mengizinkan akses ke hanya koneksi yang dibuat dari dalam AndaVPC, buat AWS Identity and Access Management (IAM) kebijakan untuk efek itu. Tambahkan kebijakan tersebut ke setiap pengguna, grup, atau peran yang digunakan untuk mengakses Studio atau Studio Classic. Fitur ini hanya didukung saat menggunakan IAM mode untuk otentikasi, dan tidak didukung dalam mode Pusat IAM Identitas. Contoh berikut menunjukkan cara membuat kebijakan tersebut.

penting

Jika Anda menerapkan IAM kebijakan yang mirip dengan salah satu contoh berikut, pengguna tidak dapat mengakses Studio atau Studio Classic atau yang ditentukan SageMaker APIs melalui SageMaker konsol. Untuk mengakses Studio atau Studio Classic, pengguna harus menggunakan presigned URL atau menelepon SageMaker APIs langsung.

Contoh 1: Izinkan koneksi hanya dalam subnet titik akhir antarmuka

Kebijakan berikut hanya mengizinkan koneksi ke penelepon dalam subnet tempat Anda membuat titik akhir antarmuka.

{
    "Id": "sagemaker-studio-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable SageMaker Studio Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}

Contoh 2: Izinkan koneksi hanya melalui titik akhir antarmuka menggunakan aws:sourceVpce

Kebijakan berikut hanya mengizinkan koneksi ke koneksi yang dibuat melalui titik akhir antarmuka yang ditentukan oleh kunci aws:sourceVpce kondisi. Misalnya, titik akhir antarmuka pertama dapat memungkinkan akses melalui SageMaker konsol. Titik akhir antarmuka kedua dapat memungkinkan akses melalui file. SageMaker API

{
    "Id": "sagemaker-studio-example-2",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable SageMaker Studio Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}

Kebijakan ini mencakup DescribeUserProfiletindakan. Biasanya Anda menelepon DescribeUserProfile untuk memastikan bahwa status profil pengguna InService sebelum Anda mencoba untuk terhubung ke domain. Sebagai contoh:

aws sagemaker describe-user-profile \
    --domain-id domain-id \
    --user-profile-name profile-name

Respons:

{
    "DomainId": "domain-id",
    "UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name",
    "UserProfileName": "profile-name",
    "HomeEfsFileSystemUid": "200001",
    "Status": "InService",
    "LastModifiedTime": 1605418785.555,
    "CreationTime": 1605418477.297
}

aws sagemaker create-presigned-domain-url
    --domain-id domain-id \
    --user-profile-name profile-name

Respons:

{
    "AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken"
}

Untuk kedua panggilan ini, jika Anda menggunakan versi AWS SDKyang dirilis sebelum 13 Agustus 2018, Anda harus menentukan titik akhir URL dalam panggilan. Misalnya, contoh berikut menunjukkan panggilan kecreate-presigned-domain-url:

aws sagemaker create-presigned-domain-url
    --domain-id domain-id \
    --user-profile-name profile-name \
    --endpoint-url vpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com

Contoh 3: Izinkan koneksi dari alamat IP menggunakan aws:SourceIp

Kebijakan berikut mengizinkan koneksi hanya dari rentang alamat IP yang ditentukan menggunakan kunci aws:SourceIp kondisi.

{
    "Id": "sagemaker-studio-example-3",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable SageMaker Studio Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            }
        }
    ]
}

Contoh 4: Izinkan koneksi dari alamat IP melalui titik akhir antarmuka menggunakan aws:VpcSourceIp

Jika Anda mengakses Studio atau Studio Classic melalui titik akhir antarmuka, Anda dapat menggunakan tombol aws:VpcSourceIp kondisi untuk mengizinkan koneksi hanya dari rentang alamat IP yang ditentukan dalam subnet tempat Anda membuat titik akhir antarmuka seperti yang ditunjukkan dalam kebijakan berikut:

{
    "Id": "sagemaker-studio-example-4",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable SageMaker Studio Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                },
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}