Connect a un'istanza Notebook tramite un endpoint di VPC interfaccia - Amazon SageMaker
Connect la tua rete privata alla tua VPCCrea una policy sugli VPC endpoint per le istanze di SageMaker NotebookLimita l'accesso alle connessioni dall'interno del tuo VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connect a un'istanza Notebook tramite un endpoint di VPC interfaccia

Puoi connetterti all'istanza del tuo notebook VPC tramite un endpoint di interfaccia nel tuo Virtual Private Cloud (VPC) invece di connetterti tramite Internet pubblico. Quando si utilizza un endpoint di VPC interfaccia, la comunicazione tra l'utente VPC e l'istanza del notebook avviene in modo completo e sicuro all'interno del AWS rete.

SageMaker le istanze notebook supportano gli endpoint di interfaccia Amazon Virtual Private Cloud (AmazonVPC) basati su AWS PrivateLink. Ogni VPC endpoint è rappresentato da una o più interfacce di rete elastiche con indirizzi IP privati nelle sottoreti. VPC

Nota

Prima di creare un VPC endpoint di interfaccia per la connessione a un'istanza di notebook, crea un VPC endpoint di interfaccia a cui connetterti a. SageMaker API In questo modo, quando gli utenti chiamano 
CreatePresignedNotebookInstanceUrlper connettersi URL all'istanza del notebook, quella chiamata passa anche attraverso l'VPCendpoint dell'interfaccia. Per informazioni, consultare Connect a SageMaker Within your VPC.

È possibile creare un endpoint di interfaccia per connettersi all'istanza del notebook con uno dei seguenti AWS Management Console oppure AWS Command Line Interface (AWS CLI) comandi. Per le istruzioni, consulta Creazione di un endpoint di interfaccia. Assicurati di creare un endpoint di interfaccia per tutte le sottoreti della rete VPC da cui desideri connetterti all'istanza del notebook.

Quando crei l'endpoint dell'interfaccia, specifica aws.sagemaker. Region.notebook come nome del servizio. Dopo aver creato un VPC endpoint, abilita private DNS per il tuo VPC endpoint. Chiunque utilizzi il, il SageMaker API AWS CLI, oppure la console per la connessione all'istanza del notebook dall'interno VPC si connette all'istanza del notebook tramite l'VPCendpoint anziché la rete Internet pubblica.

SageMaker le istanze notebook supportano tutti gli VPC endpoint Regioni AWS dove SageMakersono disponibili VPC sia Amazon che

Per connetterti all'istanza del tuo notebook tramite la tuaVPC, devi connetterti da un'istanza che si trova all'interno diVPC, oppure connettere la tua rete privata alla tua VPC utilizzando un AWS Virtual Private Network (AWS VPN) o AWS Direct Connect. Per informazioni su AWS VPN, consulta VPNConnessioni nella Guida per l'utente di Amazon Virtual Private Cloud. Per informazioni su AWS Direct Connect, vedere Creazione di una connessione nella AWS Guida per l'utente di Direct Connect.

Puoi creare una policy per gli VPC endpoint Amazon per le istanze di SageMaker notebook per specificare quanto segue:

  • Il principale che può eseguire azioni.

  • Le azioni che possono essere eseguite.

  • Le risorse sui cui si possono eseguire azioni.

Per ulteriori informazioni, consulta Controlling Access to Services with VPC Endpoints nella Amazon VPC User Guide.

Il seguente esempio di policy sugli VPC endpoint specifica che tutti gli utenti che hanno accesso all'endpoint possono accedere all'istanza del notebook denominata. myNotebookInstance

{
  "Statement": [
      {
          "Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance",
          "Principal": "*"
      }
  ]
}

L'accesso ad altre istanze del notebook è rifiutato.

Anche se configuri un endpoint di interfaccia nel tuo computerVPC, le persone esterne VPC possono connettersi all'istanza del notebook tramite Internet.

Importante

Se applichi una IAM politica simile a una delle seguenti, gli utenti non possono accedere all'istanza specificata SageMaker APIs o all'istanza del notebook tramite la console.

Per limitare l'accesso solo alle connessioni effettuate dall'interno del tuoVPC, crea un AWS Identity and Access Management politica che limita l'accesso solo alle chiamate che provengono dall'interno del tuoVPC. Quindi aggiungi quella politica a tutti AWS Identity and Access Management utente, gruppo o ruolo utilizzato per accedere all'istanza del notebook.

Nota

Questa policy consente connessioni solo ai chiamanti all'interno di una sottorete in cui è stato creato un endpoint di interfaccia.

{
    "Id": "notebook-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable Notebook Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedNotebookInstanceUrl",
                "sagemaker:DescribeNotebookInstance"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}

Se desideri limitare l'accesso all'istanza del notebook alle sole connessioni effettuate utilizzando l'endpoint di interfaccia, utilizza la chiave di condizione aws:SourceVpce anziché aws:SourceVpc:.

{
    "Id": "notebook-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable Notebook Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedNotebookInstanceUrl",
                "sagemaker:DescribeNotebookInstance"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}

Entrambi questi esempi di policy presuppongono che sia stato creato anche un endpoint di interfaccia per. SageMaker API Per ulteriori informazioni, consulta Connect a SageMaker Within your VPC. Nel secondo esempio, uno dei valori per aws:SourceVpce è l'ID dell'endpoint di interfaccia per l'istanza del notebook. L'altro è l'ID dell'endpoint dell'interfaccia per. SageMaker API

Gli esempi di policy qui riportati includono 
 DescribeNotebookInstance, perché in genere si chiama DescribeNotebookInstance per assicurarsi che sia così InService prima di provare a connettersi. NotebookInstanceStatus Per esempio:

aws sagemaker describe-notebook-instance \
                    --notebook-instance-name myNotebookInstance
                    
                    
{
   "NotebookInstanceArn":
   "arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance",
   "NotebookInstanceName": "myNotebookInstance",
   "NotebookInstanceStatus": "InService",
   "Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws",
   "InstanceType": "ml.m4.xlarge",
   "RoleArn":
   "arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456",
   "LastModifiedTime": 1540334777.501,
   "CreationTime": 1523050674.078,
   "DirectInternetAccess": "Disabled"
}
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance
                
                
{
   "AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=AuthToken
}
Nota

presigned-notebook-instance-url, AuthorizedUrl, generato può essere utilizzato da qualsiasi punto di Internet.

Per entrambe queste chiamate, se non hai DNS abilitato i nomi host privati per il tuo VPC endpoint o se stai usando una versione di AWS SDKrilasciato prima del 13 agosto 2018, è necessario specificare l'endpoint URL nella chiamata. Ad esempio, la chiamata a create-presigned-notebook-instance-url è:

aws sagemaker create-presigned-notebook-instance-url
    --notebook-instance-name myNotebookInstance --endpoint-url
    VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com