Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Conecte-se ao Amazon SageMaker Studio e ao Studio Classic por meio de uma interface VPC Endpoint

PDF
RSS
Modo de foco
Conecte-se ao Amazon SageMaker Studio e ao Studio Classic por meio de uma interface VPC Endpoint - SageMaker IA da Amazon
Criar um endpoint de VPCCriar uma política de endpoint de VPC para o Studio ou Studio ClassicPermitir o acesso somente de dentro da sua VPC

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Você pode se conectar ao Amazon SageMaker Studio e ao Amazon SageMaker Studio Classic a partir da Amazon Virtual Private Cloud (Amazon VPC) por meio de um endpoint de interface na sua VPC, em vez de se conectar pela Internet. Quando você usa uma interface VPC endpoint (endpoint de interface), a comunicação entre sua VPC e o Studio ou o Studio Classic é conduzida de forma completa e segura na rede. AWS

O Studio e o Studio Classic são compatíveis com endpoints de interface que são fornecidos pelo AWS PrivateLink. Cada endpoint de VPC é representado por uma ou mais interfaces de rede elástica com endereços IP privados em suas sub-redes da VPC.

O Studio e o Studio Classic oferecem suporte a endpoints de interface em todas as AWS regiões em que o Amazon SageMaker AI e o Amazon VPC estão disponíveis.

Criar um endpoint de VPC

Você pode criar um endpoint de interface para se conectar ao Studio ou ao Studio Classic com o AWS console ou com o AWS Command Line Interface (AWS CLI). Para obter instruções, consulte Criar um endpoint de interface. Certifique-se de criar endpoints de interface para todas as sub-redes da VPC com a qual você deseja se conectar ao Studio e Studio Classic.

Ao criar um endpoint de interface, verifique se os grupos de segurança em seu endpoint permitem acesso de entrada para tráfego HTTPS dos grupos de segurança associados ao Studio e Studio Classic. Para obter mais informações, consulte Controlar o acesso aos serviços com endpoints de VPC.

nota

Além de criar um endpoint de interface para se conectar ao Studio e ao Studio Classic, crie um endpoint de interface para se conectar à API da Amazon SageMaker . Quando os usuários ligam CreatePresignedDomainUrlpara obter a URL para se conectar ao Studio e ao Studio Classic, essa chamada passa pelo endpoint da interface usado para se conectar à SageMaker API.

Ao criar o endpoint de interface, especifique aws.sagemaker.Region.studio como o nome de serviço para o Studio ou Studio Classic. Depois de criar um endpoint de interface, habilite o DNS privado para seu endpoint. Quando você se conecta ao Studio ou ao Studio Classic de dentro da VPC usando a SageMaker API, o ou o console AWS CLI, você se conecta por meio do endpoint da interface em vez da Internet pública. Você também precisa configurar um DNS personalizado com zonas hospedadas privadas para o endpoint da Amazon VPC, para que o Studio ou o Studio Classic possam acessar a API usando SageMaker o endpoint em vez de usar api.sagemaker.$region.amazonaws.com a URL do endpoint da VPC. Para obter instruções sobre como configurar uma zona hospedada privada, consulte Trabalhar com zonas hospedadas privadas.

Você pode anexar uma política de endpoint de VPC da Amazon a endpoints de VPC de interface que você usa para se conectar ao Studio ou Studio Classic. A política de endpoint controla o acesso ao Studio ou Studio Classic. É possível especificar o seguinte:

  • A entidade principal que pode realizar ações.

  • As ações que podem ser realizadas.

  • Os recursos aos quais as ações podem ser aplicadas.

Para usar um VPC endpoint com o Studio ou o Studio Classic, sua política de endpoint deve permitir a CreateApp operação no tipo de aplicativo. KernelGateway Isso permite que o tráfego que é roteado por meio do endpoint de VPC chame a API CreateApp. O exemplo de política de endpoint de VPC a seguir mostra como conceder a permissão à operação CreateApp.

{
 "Statement": [
   {
     "Action": "sagemaker:CreateApp",
     "Effect": "Allow",
     "Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*",
     "Principal": "*"
   }
 ]
}

Para obter mais informações, consulte Controlar acesso a serviços com endpoints de VPC.

O exemplo a seguir de uma política de VPC endpoint especifica que todos os usuários que têm acesso ao endpoint têm permissão para acessar os perfis de usuário no domínio de SageMaker IA com o ID de domínio especificado. O acesso a outros domínios é negado.

{
  "Statement": [
      {
          "Action": "sagemaker:CreatePresignedDomainUrl",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*",
          "Principal": "*"
      }
  ]
}

Usuários fora da sua VPC podem se conectar ao Studio ou Studio Classic pela internet, mesmo que você configure um endpoint de interface na sua VPC.

Para permitir o acesso somente às conexões feitas de dentro da sua VPC, crie uma política do (IAM) AWS Identity and Access Management para esse efeito. Adicione essa política a todos os usuários, grupos ou perfis usados para acessar o Studio ou Studio Classic. Esse atributo só é compatível com o modo do IAM para autenticação, e não com o modo do Centro de Identidade do IAM. Os exemplos a seguir demonstram como criar essas políticas.

Importante

Se você aplicar uma política do IAM semelhante a um dos exemplos a seguir, os usuários não poderão acessar o Studio ou o Studio Classic ou o especificado SageMaker APIs por meio do console de SageMaker IA. Para acessar o Studio ou o Studio Classic, os usuários devem usar uma URL pré-assinada ou ligar SageMaker APIs diretamente para eles.

Exemplo 1: permitir conexões somente dentro da sub-rede de um endpoint de interface

A política a seguir permite conexões somente para chamadores em uma sub-rede na qual você criou um endpoint de interface.

{
    "Id": "sagemaker-studio-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable SageMaker Studio Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}

Exemplo 2: permitir conexões somente por meio de endpoints de interface usando aws:sourceVpce

A política a seguir permite conexões somente com aquelas feitas por meio dos endpoints de interface especificados pela chave de condição aws:sourceVpce. Por exemplo, o primeiro endpoint da interface pode permitir o acesso por meio do console de SageMaker IA. O segundo endpoint da interface pode permitir o acesso por meio da SageMaker API.

{
    "Id": "sagemaker-studio-example-2",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable SageMaker Studio Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}

Essa política também inclui a ação DescribeUserProfile. Normalmente, você chama DescribeUserProfile para verificar se o status do perfil do usuário é InService antes de tentar se conectar ao domínio. Por exemplo:

aws sagemaker describe-user-profile \
    --domain-id domain-id \
    --user-profile-name profile-name

Resposta:

{
    "DomainId": "domain-id",
    "UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name",
    "UserProfileName": "profile-name",
    "HomeEfsFileSystemUid": "200001",
    "Status": "InService",
    "LastModifiedTime": 1605418785.555,
    "CreationTime": 1605418477.297
}
aws sagemaker create-presigned-domain-url
    --domain-id domain-id \
    --user-profile-name profile-name

Resposta:

{
    "AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken"
}

Para ambas as chamadas, se você estiver usando uma versão do AWS SDK lançada antes de 13 de agosto de 2018, deverá especificar a URL do endpoint na chamada. Por exemplo, o seguinte exemplo mostra uma chamada para create-presigned-domain-url:

aws sagemaker create-presigned-domain-url
    --domain-id domain-id \
    --user-profile-name profile-name \
    --endpoint-url vpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com

Exemplo 3: permitir conexões de endereços IP usando aws:SourceIp

A política a seguir permite conexões somente do intervalo especificado de endereços IP usando a chave de condição aws:SourceIp.

{
    "Id": "sagemaker-studio-example-3",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable SageMaker Studio Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            }
        }
    ]
}

Exemplo 4: permitir conexões de endereços IP por meio de um endpoint de interface usando aws:VpcSourceIp

Se você estiver acessando o Studio ou Studio Classic por meio de um endpoint de interface, poderá usar a chave de condição aws:VpcSourceIp para permitir conexões somente do intervalo especificado de endereços IP dentro da sub-rede em que você criou o endpoint da interface, conforme mostrado na política a seguir:

{
    "Id": "sagemaker-studio-example-4",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable SageMaker Studio Access",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                },
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}

Nesta página

Related resources

Amazon SageMaker AI Referência da API
AWS CLI comandos para Amazon SageMaker AI
SDKs e ferramentas 

Related resources

Amazon SageMaker AI Referência da API
AWS CLI comandos para Amazon SageMaker AI
SDKs e ferramentas 
PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.