Conecte-se a uma instância de notebook por meio de um endpoint de VPC interface - Amazon SageMaker
Conecte sua rede privada à sua VPCCrie uma política de VPC endpoint para instâncias de SageMaker notebookRestrinja o acesso às conexões de dentro do seu VPC

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conecte-se a uma instância de notebook por meio de um endpoint de VPC interface

Você pode se conectar à sua instância de notebook VPC por meio de um endpoint de interface em sua Virtual Private Cloud (VPC) em vez de se conectar pela Internet pública. Quando você usa um endpoint de VPC interface, a comunicação entre sua instância VPC e a instância do notebook é conduzida de forma completa e segura dentro do AWS rede.

SageMaker instâncias de notebook oferecem suporte a endpoints de interface da Amazon Virtual Private Cloud (AmazonVPC) que são alimentados por AWS PrivateLink. Cada VPC endpoint é representado por uma ou mais interfaces de rede elástica com endereços IP privados em suas VPC sub-redes.

nota

Antes de criar um VPC endpoint de interface para se conectar a uma instância de notebook, crie um VPC endpoint de interface para se conectar ao. SageMaker API Dessa forma, quando os usuários ligam 
CreatePresignedNotebookInstanceUrlpara que o se conecte URL à instância do notebook, essa chamada também passa pelo VPC endpoint da interface. Para ter mais informações, consulte Connect to SageMaker Within your VPC.

Você pode criar um endpoint de interface para se conectar à sua instância do notebook com um dos AWS Management Console ou AWS Command Line Interface (AWS CLI) comandos. Para obter instruções, consulte Criar um endpoint de interface. Certifique-se de criar um endpoint de interface para todas as sub-redes nas quais você deseja se conectar à instância do notebook. VPC

Ao criar o endpoint da interface, especifique aws.sagemaker.Region.notebook como nome do serviço. Depois de criar um VPC endpoint, habilite o modo privado DNS para seu VPC endpoint. Qualquer pessoa usando o SageMaker API, o AWS CLI, ou o console para se conectar à instância do notebook de dentro do VPC conecta-se à instância do notebook por meio do VPC endpoint em vez da Internet pública.

SageMaker instâncias de notebook oferecem suporte a VPC endpoints em todos Regiões da AWS onde tanto a Amazon VPC quanto a SageMakerestão disponíveis.

Para se conectar à sua instância do notebook por meio do seuVPC, você precisa se conectar a partir de uma instância que esteja dentro doVPC, ou conectar sua rede privada à sua VPC usando um AWS Virtual Private Network (AWS VPN) ou AWS Direct Connect. Para obter informações sobre AWS VPN, consulte VPNConexões no Guia do usuário da Amazon Virtual Private Cloud. Para obter mais informações sobre AWS Direct Connect, consulte Criação de uma conexão no AWS Guia do usuário do Direct Connect.

Você pode criar uma política para VPC endpoints da Amazon para instâncias de SageMaker notebooks para especificar o seguinte:

  • A entidade principal que pode executar ações.

  • As ações que podem ser executadas.

  • Os recursos sobre os quais as ações podem ser realizadas.

Para obter mais informações, consulte Controlando o acesso a serviços com VPC endpoints no Guia do VPC usuário da Amazon.

O exemplo a seguir de uma política de VPC endpoint especifica que todos os usuários que têm acesso ao endpoint têm permissão para acessar a instância do notebook chamada. myNotebookInstance

{
  "Statement": [
      {
          "Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance",
          "Principal": "*"
      }
  ]
}

O acesso a outras instâncias de caderno é negado.

Mesmo que você configure um endpoint de interface no seuVPC, pessoas externas VPC podem se conectar à instância do notebook pela Internet.

Importante

Se você aplicar uma IAM política semelhante a uma das seguintes, os usuários não poderão acessar a instância especificada SageMaker APIs ou a instância do notebook por meio do console.

Para restringir o acesso somente às conexões feitas de dentro do seuVPC, crie um AWS Identity and Access Management política que restringe o acesso somente a chamadas provenientes de dentro do seuVPC. Em seguida, adicione essa política a cada AWS Identity and Access Management usuário, grupo ou função usada para acessar a instância do notebook.

nota

Essa política permite conexões somente para chamadores em uma sub-rede na qual você criou um endpoint de interface.

{
    "Id": "notebook-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable Notebook Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedNotebookInstanceUrl",
                "sagemaker:DescribeNotebookInstance"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}

Se você quiser restringir o acesso à instância de caderno apenas para conexões feitas usando o endpoint de interface, use a chave de condição aws:SourceVpce em vez de aws:SourceVpc:.

{
    "Id": "notebook-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable Notebook Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedNotebookInstanceUrl",
                "sagemaker:DescribeNotebookInstance"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}

Ambos os exemplos de política pressupõem que você também criou um endpoint de interface para o. SageMaker API Para obter mais informações, consulte Connect to SageMaker Within your VPC. No segundo exemplo, um dos valores para aws:SourceVpce é o ID do endpoint de interface para a instância de caderno. A outra é a ID do endpoint da interface para o. SageMaker API

Os exemplos de políticas aqui incluem 
 DescribeNotebookInstance, porque normalmente você liga DescribeNotebookInstance para se certificar de que NotebookInstanceStatus está InService antes de tentar se conectar a ele. Por exemplo:

aws sagemaker describe-notebook-instance \
                    --notebook-instance-name myNotebookInstance
                    
                    
{
   "NotebookInstanceArn":
   "arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance",
   "NotebookInstanceName": "myNotebookInstance",
   "NotebookInstanceStatus": "InService",
   "Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws",
   "InstanceType": "ml.m4.xlarge",
   "RoleArn":
   "arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456",
   "LastModifiedTime": 1540334777.501,
   "CreationTime": 1523050674.078,
   "DirectInternetAccess": "Disabled"
}
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance
                
                
{
   "AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=AuthToken
}
nota

O presigned-notebook-instance-url, AuthorizedUrl, gerado pode ser usado de qualquer lugar na internet.

Para ambas as chamadas, se você não habilitou DNS nomes de host privados para seu VPC endpoint ou se estiver usando uma versão do AWS SDKque foi lançado antes de 13 de agosto de 2018, você deve especificar o endpoint URL na chamada. Por exemplo, a chamada para create-presigned-notebook-instance-url é:

aws sagemaker create-presigned-notebook-instance-url
    --notebook-instance-name myNotebookInstance --endpoint-url
    VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com