As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Conecte-se ao Amazon SageMaker Studio e ao Studio Classic por meio de um VPC endpoint de interface
Você pode se conectar ao Amazon SageMaker Studio e ao Amazon SageMaker Studio Classic a partir da Amazon Virtual Private Cloud (AmazonVPC) por meio de um endpoint de interface em seu, em VPC vez de se conectar pela Internet. Quando você usa um endpoint de interface (VPCendpoint de interface), a comunicação entre você VPC e o Studio ou o Studio Classic é conduzida de forma completa e segura dentro do AWS rede.
O Studio e o Studio Classic oferecem suporte a endpoints de interface que são alimentados por AWS PrivateLink. Cada endpoint de interface é representado por uma ou mais interfaces de rede elástica com endereços IP privados em suas VPC sub-redes.
O Studio e o Studio Classic oferecem suporte a endpoints de interface em todos AWS Regiões em que a Amazon SageMaker
Tópicos
Criar um endpoint do VPC
Você pode criar um endpoint de interface para se conectar ao Studio ou ao Studio Classic com o AWS console ou o AWS Command Line Interface (AWS CLI). Para obter instruções, consulte Criação de um endpoint de interface. Certifique-se de criar endpoints de interface para todas as sub-redes nas quais você deseja se conectar ao Studio e ao Studio Classic. VPC
Ao criar um endpoint de interface, certifique-se de que os grupos de segurança em seu endpoint permitam acesso de entrada ao HTTPS tráfego dos grupos de segurança associados ao Studio e ao Studio Classic. Para obter mais informações, consulte Controlar o acesso a serviços com VPC endpoints.
nota
Além de criar um endpoint de interface para se conectar ao Studio e ao Studio Classic, crie um endpoint de interface para se conectar à Amazon. SageMaker API Quando os usuários ligam CreatePresignedDomainUrlpara se conectar URL ao Studio e ao Studio Classic, essa chamada passa pelo endpoint da interface usado para se conectar ao SageMaker API.
Ao criar o endpoint da interface, especifique aws.sagemaker. como nome do serviço Studio ou Studio Classic. Depois de criar o endpoint da interface, habilite private DNS para seu endpoint. Quando você se conecta ao Studio ou ao Studio Classic de dentro do VPC usando o SageMaker API, o AWS CLI, ou pelo console, você se conecta por meio do endpoint da interface em vez da Internet pública. Você também precisa configurar um endpoint personalizado DNS com zonas hospedadas privadas para o VPC endpoint da Amazon, para que o Studio ou o Studio Classic possam acessá-las SageMaker API usando o Region.studioapi.sagemaker.$region.amazonaws.com endpoint em vez de usar o VPC endpoint. URL Para obter instruções sobre como configurar uma zona hospedada privada, consulte Trabalhar com zonas hospedadas privadas.
Crie uma política de VPC endpoint para o Studio ou o Studio Classic
Você pode anexar uma política de VPC endpoint da Amazon aos VPC endpoints de interface que você usa para se conectar ao Studio ou ao Studio Classic. A política de endpoint controla o acesso ao Studio ou ao Studio Classic. Você pode especificar o seguinte:
-
A entidade principal que pode executar ações.
-
As ações que podem ser executadas.
-
Os recursos sobre os quais as ações podem ser realizadas.
Para usar um VPC endpoint com o Studio ou o Studio Classic, sua política de endpoint deve permitir a CreateApp operação no tipo de KernelGateway aplicativo. Isso permite que o tráfego que é roteado através do VPC endpoint chame o. CreateApp API O exemplo de política de VPC endpoint a seguir mostra como permitir a CreateApp operação.
{ "Statement": [ { "Action": "sagemaker:CreateApp", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*", "Principal": "*" } ] }
Para obter mais informações, consulte Controle do acesso a serviços com VPC endpoints.
O exemplo a seguir de uma política de VPC endpoint especifica que todos os usuários que têm acesso ao endpoint têm permissão para acessar os perfis de usuário no SageMaker domínio com a ID de domínio especificada. O acesso a outros domínios é negado.
{ "Statement": [ { "Action": "sagemaker:CreatePresignedDomainUrl", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*", "Principal": "*" } ] }
Permita o acesso somente de dentro do seu VPC
Usuários fora do seu VPC podem se conectar ao Studio ou ao Studio Classic pela Internet, mesmo que você configure um endpoint de interface no seuVPC.
Para permitir o acesso somente às conexões feitas de dentro do seuVPC, crie um AWS Identity and Access Management (IAM) política nesse sentido. Adicione essa política a cada usuário, grupo ou função usada para acessar o Studio ou o Studio Classic. Esse recurso só é suportado ao usar o IAM modo para autenticação e não é suportado no modo IAM Identity Center. Os exemplos a seguir demonstram como criar essas políticas.
Importante
Se você aplicar uma IAM política semelhante a um dos exemplos a seguir, os usuários não poderão acessar o Studio ou o Studio Classic ou o especificado SageMaker APIs por meio do SageMaker console. Para acessar o Studio ou o Studio Classic, os usuários devem usar um pré-assinado URL ou ligar SageMaker APIs diretamente para o.
Exemplo 1: permitir conexões somente dentro da sub-rede de um endpoint de interface
A política a seguir permite conexões somente para chamadores em uma sub-rede na qual você criou um endpoint de interface.
{ "Id": "sagemaker-studio-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc":"vpc-111bbaaa"} } } ] }
Exemplo 2: permitir conexões somente por meio de endpoints de interface usando aws:sourceVpce
A política a seguir permite conexões somente com aquelas feitas por meio dos endpoints de interface especificados pela chave de condição aws:sourceVpce. Por exemplo, o primeiro endpoint da interface pode permitir o acesso por meio do SageMaker console. O segundo endpoint da interface pode permitir o acesso por meio do SageMaker API.
{ "Id": "sagemaker-studio-example-2", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": ["vpce-111bbccc","vpce-111bbddd"] } } } ] }
Essa política também inclui a ação DescribeUserProfile. Normalmente, você chama DescribeUserProfile para verificar se o status do perfil do usuário é InService antes de tentar se conectar ao domínio. Por exemplo:
aws sagemaker describe-user-profile \ --domain-iddomain-id\ --user-profile-nameprofile-name
Resposta:
{ "DomainId": "domain-id", "UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name", "UserProfileName": "profile-name", "HomeEfsFileSystemUid": "200001", "Status": "InService", "LastModifiedTime": 1605418785.555, "CreationTime": 1605418477.297 }
aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name
Resposta:
{ "AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken" }
Para ambas as chamadas, se você estiver usando uma versão do AWS SDKque foi lançado antes de 13 de agosto de 2018, você deve especificar o endpoint URL na chamada. Por exemplo, o exemplo a seguir mostra uma chamada para create-presigned-domain-url:
aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name\ --endpoint-urlvpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com
Exemplo 3: permitir conexões de endereços IP usando aws:SourceIp
A política a seguir permite conexões somente do intervalo especificado de endereços IP usando a chave de condição aws:SourceIp.
{ "Id": "sagemaker-studio-example-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "IpAddress": { "aws:SourceIp": ["192.0.2.0/24","203.0.113.0/24"] } } } ] }
Exemplo 4: permitir conexões de endereços IP por meio de um endpoint de interface usando aws:VpcSourceIp
Se você estiver acessando o Studio ou o Studio Classic por meio de um endpoint de interface, poderá usar a chave de aws:VpcSourceIp condição para permitir conexões somente do intervalo especificado de endereços IP na sub-rede em que você criou o endpoint da interface, conforme mostrado na política a seguir:
{ "Id": "sagemaker-studio-example-4", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "IpAddress": { "aws:VpcSourceIp": ["192.0.2.0/24","203.0.113.0/24"] }, "StringEquals": { "aws:SourceVpc":"vpc-111bbaaa"} } } ] }
