Configuration de l’accès réseau entre Studio et les sources de données (pour les administrateurs) - Amazon SageMaker AI
Studio et le magasin de données séparément VPCsStudio et le magasin de données dans le même VPCStudio et le magasin de données communiquent via le réseau Internet public

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l’accès réseau entre Studio et les sources de données (pour les administrateurs)

Cette section fournit des informations sur la manière dont les administrateurs peuvent configurer un réseau pour permettre la communication entre Amazon SageMaker Studio et Amazon Redshift ou Amazon Athena, au sein d'un Amazon VPC privé ou via Internet. Les instructions de mise en réseau varient si le domaine Studio et le magasin de données sont déployés au sein d’un cloud privé virtuel (VPC) Amazon privé ou s’ils communiquent via Internet.

Par défaut, Studio s'exécute dans un VPC AWS géré avec accès à Internet. Lorsque vous utilisez une connexion Internet, Studio accède à AWS des ressources, telles que les compartiments Amazon S3, via Internet. Toutefois, si vous avez des exigences de sécurité pour contrôler l’accès à vos données et à vos conteneurs de tâches, nous vous recommandons de configurer Studio et votre magasin de données (Amazon Redshift ou Athena) de manière à ce que vos données et vos conteneurs ne soient pas accessibles via Internet. Pour contrôler l'accès à vos ressources ou exécuter Studio sans accès public à Internet, vous pouvez spécifier le type d'accès au VPC only réseau lorsque vous vous connectez au domaine Amazon SageMaker AI. Dans ce scénario, Studio établit des connexions avec d’autres services AWS via des points de terminaison de VPC privés. Pour en savoir plus sur la configuration de Studio en mode VPC only, consultez Connexion de Studio à des ressources externes dans un VPC.

Note

Pour se connecter à Snowflake, le VPC du domaine Studio doit avoir accès à Internet.

Les deux premières sections décrivent comment garantir la communication entre votre domaine Studio et votre magasin de données VPCs sans accès public à Internet. La dernière section explique comment garantir la communication entre Studio et votre magasin de données à l’aide d’une connexion Internet. Avant de connecter Studio à votre magasin de données sans accès à Internet, assurez-vous d'établir des points de terminaison pour Amazon Simple Storage Service, Amazon Redshift ou Athena SageMaker , AI, et pour CloudWatch Amazon et (journalisation AWS CloudTrail et surveillance).

Studio et le magasin de données sont déployés séparément VPCs

Pour autoriser la communication entre Studio et un magasin de données déployé dans différents environnements, procédez comme suit VPCs :

  1. Commencez par vous connecter VPCs via une connexion d'appairage VPC.

  2. Mettez à jour les tables de routage de chaque VPC pour autoriser le trafic réseau bidirectionnel entre les sous-réseaux Studio et les sous-réseaux du magasin de données.

  3. Configurez vos groupes de sécurité pour autoriser le trafic entrant et sortant.

Les étapes de configuration sont les mêmes, que Studio et le magasin de données soient déployés dans un seul AWS compte ou sur différents AWS comptes.

  1. Appairage de VPC

    Créez une connexion d'appairage VPC pour faciliter la mise en réseau entre les deux VPCs (Studio et le magasin de données).

    1. Depuis le compte Studio, sur le tableau de bord du VPC, choisissez Connexions d’appairage, puis Créer une connexion d’appairage.

    2. Créez votre demande pour appairer le VPC Studio avec le VPC du magasin de données. Lorsque vous demandez le peering sur un autre AWS compte, choisissez Another account dans Select another VPC to peer with.

      Pour l’appairage entre comptes, l’administrateur doit accepter la demande émanant du compte du moteur SQL.

      Lors de l’appairage de sous-réseaux privés, vous devez activer la résolution DNS IP privée au niveau de la connexion d’appairage de VPC.

  2. Tables de routage

    Configurez le routage pour autoriser le trafic réseau entre Studio et les sous-réseaux VPC du magasin de données dans les deux sens.

    Une fois que vous avez établi la connexion d'appairage, l'administrateur (sur chaque compte pour l'accès entre comptes) peut ajouter des itinéraires aux tables de routage des sous-réseaux privés pour acheminer le trafic entre Studio et les sous-réseaux du magasin de données VPCs. Vous pouvez définir ces routes en accédant à la section Tables de routage de chaque VPC dans le tableau de bord du VPC.

  3. Groupes de sécurité

    Enfin, le groupe de sécurité du VPC du domaine Studio doit autoriser le trafic sortant, et le groupe de sécurité du VPC du magasin de données doit autoriser le trafic entrant sur le port de votre magasin de données en provenance du groupe de sécurité du VPC de Studio.

Studio et le magasin de données sont déployés dans le même VPC

Si Studio et le magasin de données se trouvent dans des sous-réseaux privés différents du même VPC, ajoutez des routes dans la table de routage de chaque sous-réseau privé. Ces routes doivent permettre au trafic de circuler entre les sous-réseaux Studio et les sous-réseaux du magasin de données. Vous pouvez définir ces routes en accédant à la section Tables de routage de chaque VPC dans le tableau de bord du VPC. Si vous avez déployé Studio et le magasin de données dans le même VPC et le même sous-réseau, vous n’avez pas besoin de router le trafic.

Indépendamment des mises à jour des tables de routage, le groupe de sécurité du VPC du domaine Studio doit autoriser le trafic sortant, et le groupe de sécurité du VPC du magasin de données doit autoriser le trafic entrant sur son port en provenance du groupe de sécurité du VPC de Studio.

Studio et le magasin de données communiquent via le réseau Internet public

Par défaut, Studio fournit une interface réseau qui permet de communiquer avec Internet via une passerelle Internet dans le VPC associé au domaine Studio. Si vous choisissez de vous connecter à votre magasin de données via le réseau Internet public, votre magasin de données doit accepter le trafic entrant sur son port.

Une passerelle NAT doit être utilisée pour permettre aux instances situées dans des sous-réseaux privés de plusieurs de VPCs partager une seule adresse IP publique fournie par la passerelle Internet lors de l'accès à Internet.

Note

Chaque port ouvert pour le trafic entrant représente un risque de sécurité potentiel. Vérifiez attentivement les groupes de sécurité personnalisés pour vous assurer de réduire les failles de sécurité.