Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Konfigurasikan Amazon SageMaker Canvas di VPC tanpa akses internet
<a name="canvas-vpc"></a>

Aplikasi Amazon SageMaker Canvas berjalan dalam wadah di Amazon Virtual Private Cloud (VPC) yang AWS dikelola. Jika Anda ingin mengontrol akses lebih lanjut ke sumber daya Anda atau menjalankan SageMaker Canvas tanpa akses internet publik, Anda dapat mengonfigurasi domain Amazon SageMaker AI dan pengaturan VPC Anda. Dalam VPC Anda sendiri, Anda dapat mengonfigurasi pengaturan seperti grup keamanan (firewall virtual yang mengontrol lalu lintas masuk dan keluar dari instans Amazon EC2) dan subnet (rentang alamat IP di VPC Anda). Untuk mempelajari selengkapnya VPCs, lihat [Cara kerja Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html).

Ketika aplikasi SageMaker Canvas berjalan di VPC AWS terkelola, ia dapat berinteraksi dengan AWS layanan lain menggunakan koneksi internet atau melalui titik akhir VPC yang dibuat dalam VPC yang dikelola pelanggan (tanpa akses internet publik). SageMaker Aplikasi Canvas dapat mengakses titik akhir VPC ini melalui antarmuka jaringan yang dibuat Studio Classic yang menyediakan konektivitas ke VPC yang dikelola pelanggan. Perilaku default aplikasi SageMaker Canvas adalah memiliki akses internet. Saat menggunakan koneksi internet, wadah untuk pekerjaan sebelumnya mengakses AWS sumber daya melalui internet, seperti bucket Amazon S3 tempat Anda menyimpan data pelatihan dan artefak model.

Namun, jika Anda memiliki persyaratan keamanan untuk mengontrol akses ke data dan wadah pekerjaan Anda, kami sarankan Anda mengonfigurasi SageMaker Canvas dan VPC Anda sehingga data dan container Anda tidak dapat diakses melalui internet. SageMaker AI menggunakan pengaturan konfigurasi VPC yang Anda tentukan saat menyiapkan domain untuk SageMaker Canvas.

Jika Anda ingin mengonfigurasi aplikasi SageMaker Canvas Anda tanpa akses internet, Anda harus mengonfigurasi pengaturan VPC saat Anda onboard ke [domain Amazon SageMaker AI](gs-studio-onboard.md), mengatur titik akhir VPC, dan memberikan izin yang diperlukan. AWS Identity and Access Management Untuk informasi tentang mengonfigurasi VPC di SageMaker Amazon AI, lihat. [Pilih VPC Amazon](onboard-vpc.md) Bagian berikut menjelaskan cara menjalankan SageMaker Canvas di VPC tanpa akses internet publik.

## Konfigurasikan Amazon SageMaker Canvas di VPC tanpa akses internet
<a name="canvas-vpc-configure"></a>

Anda dapat mengirim lalu lintas dari SageMaker Canvas ke AWS layanan lain melalui VPC Anda sendiri. Jika VPC Anda sendiri tidak memiliki akses internet publik dan Anda telah mengatur domain Anda dalam mode **VPC saja**, maka SageMaker Canvas tidak akan memiliki akses internet publik juga. Ini mencakup semua permintaan, seperti mengakses kumpulan data di Amazon S3 atau pekerjaan pelatihan untuk build standar, dan permintaan melalui titik akhir VPC di VPC Anda, bukan internet publik. Saat Anda onboard ke domain dan[Pilih VPC Amazon](onboard-vpc.md), Anda dapat menentukan VPC Anda sendiri sebagai VPC default untuk domain, bersama dengan grup keamanan dan pengaturan subnet yang Anda inginkan. Kemudian, SageMaker AI membuat antarmuka jaringan di VPC Anda yang digunakan SageMaker Canvas untuk mengakses titik akhir VPC di VPC Anda.

Pastikan Anda menyiapkan satu atau beberapa grup keamanan di VPC Anda dengan aturan masuk dan keluar yang memungkinkan [lalu lintas TCP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances) dalam grup keamanan. Ini diperlukan untuk konektivitas antara aplikasi Jupyter Server dan aplikasi Kernel Gateway. Anda harus mengizinkan akses ke setidaknya port dalam jangkauan`8192-65535`. Juga, pastikan untuk membuat grup keamanan yang berbeda untuk setiap profil pengguna dan menambahkan akses masuk dari grup keamanan yang sama. Kami tidak menyarankan untuk menggunakan kembali grup keamanan tingkat domain untuk profil pengguna. Jika grup keamanan tingkat domain memungkinkan akses masuk ke dirinya sendiri, semua aplikasi dalam domain memiliki akses ke semua aplikasi lain di domain. Perhatikan bahwa grup keamanan dan pengaturan subnet disetel setelah Anda selesai melakukan onboarding ke domain.

Saat melakukan onboarding ke domain, jika Anda memilih **Internet Publik hanya** sebagai jenis akses jaringan, VPC SageMaker dikelola AI dan memungkinkan akses internet.

Anda dapat mengubah perilaku ini dengan memilih **VPC saja** sehingga SageMaker AI mengirimkan semua lalu lintas ke antarmuka jaringan yang dibuat SageMaker AI di VPC yang Anda tentukan. Ketika Anda memilih opsi ini, Anda harus menyediakan subnet, grup keamanan, dan titik akhir VPC yang diperlukan untuk berkomunikasi dengan SageMaker API SageMaker dan AI Runtime, dan AWS berbagai layanan, seperti Amazon S3 dan CloudWatch Amazon, yang digunakan oleh Canvas. SageMaker Perhatikan bahwa Anda hanya dapat mengimpor data dari bucket Amazon S3 yang terletak di Wilayah yang sama dengan VPC Anda.

Prosedur berikut menunjukkan bagaimana Anda dapat mengonfigurasi pengaturan ini untuk menggunakan SageMaker Canvas tanpa internet.

### Langkah 1: Onboard ke domain Amazon SageMaker AI
<a name="canvas-vpc-configure-onboard"></a>

[Untuk mengirim lalu lintas SageMaker Canvas ke antarmuka jaringan di VPC Anda sendiri alih-alih melalui internet, tentukan VPC yang ingin Anda gunakan saat melakukan orientasi ke domain Amazon AI. SageMaker ](gs-studio-onboard.md) Anda juga harus menentukan setidaknya dua subnet di VPC Anda SageMaker yang dapat digunakan AI. Pilih **Pengaturan standar** dan lakukan prosedur berikut saat mengonfigurasi **Bagian Jaringan dan Penyimpanan** untuk domain.

1. Pilih **VPC** yang Anda inginkan.

1. Pilih dua atau lebih **Subnet**. Jika Anda tidak menentukan subnet, SageMaker AI menggunakan semua subnet di VPC.

1. Pilih satu atau **beberapa grup Keamanan**.

1. Pilih **VPC Only** untuk mematikan akses internet langsung di AWS VPC terkelola tempat SageMaker Canvas di-host.

Setelah menonaktifkan akses internet, selesaikan proses orientasi untuk mengatur domain Anda. Untuk informasi selengkapnya tentang pengaturan VPC untuk domain Amazon SageMaker AI, lihat. [Pilih VPC Amazon](onboard-vpc.md)

### Langkah 2: Konfigurasikan titik akhir dan akses VPC
<a name="canvas-vpc-configure-endpoints"></a>

**catatan**  
Untuk mengonfigurasi Canvas di VPC Anda sendiri, Anda harus mengaktifkan nama host DNS pribadi untuk titik akhir VPC Anda. Untuk informasi selengkapnya, lihat [Connect to SageMaker AI Through a VPC Interface](https://docs.aws.amazon.com/sagemaker/latest/dg/interface-vpc-endpoint.html) Endpoint.

SageMaker Canvas hanya mengakses AWS layanan lain untuk mengelola dan menyimpan data untuk fungsinya. Misalnya, terhubung ke Amazon Redshift jika pengguna Anda mengakses database Amazon Redshift. Itu dapat terhubung ke AWS layanan seperti Amazon Redshift menggunakan koneksi internet atau titik akhir VPC. Gunakan titik akhir VPC jika Anda ingin mengatur koneksi dari VPC ke AWS layanan yang tidak menggunakan internet publik.

Endpoint VPC menciptakan koneksi pribadi ke AWS layanan yang menggunakan jalur jaringan yang terisolasi dari internet publik. Misalnya, jika Anda mengatur akses ke Amazon S3 menggunakan titik akhir VPC dari VPC Anda sendiri, maka aplikasi Canvas SageMaker dapat mengakses Amazon S3 dengan melalui antarmuka jaringan di VPC Anda dan kemudian melalui titik akhir VPC yang terhubung ke Amazon S3. Komunikasi antara SageMaker Canvas dan Amazon S3 bersifat pribadi.

Untuk informasi selengkapnya tentang mengonfigurasi titik akhir VPC untuk VPC Anda, lihat. [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) Jika Anda menggunakan model Amazon Bedrock di Canvas dengan VPC, untuk informasi selengkapnya tentang mengontrol akses ke data Anda, [lihat Melindungi pekerjaan menggunakan VPC](https://docs.aws.amazon.com/bedrock/latest/userguide/usingVPC.html#configureVPC) di Panduan Pengguna *Amazon* Bedrock.

Berikut ini adalah titik akhir VPC untuk setiap layanan yang dapat Anda gunakan dengan Canvas: SageMaker 


| Layanan | Titik akhir | Tipe titik akhir | 
| --- | --- | --- | 
|  AWS Application Auto Scaling  |  com.amazonaws. *Region*.application-autoscaling  | Antarmuka | 
|  Amazon Athena  |  com.amazonaws. *Region*.athena  | Antarmuka | 
|  Amazon SageMaker AI  |  com.amazonaws. *Region*.sagemaker.api com.amazonaws. *Region*.sagemaker.runtime com.amazonaws. *Region*.buku catatan  | Antarmuka | 
|  Asisten Ilmu Data SageMaker AI Amazon  |  com.amazonaws. *Region*. sagemaker-data-science-assistant  | Antarmuka | 
|  AWS Security Token Service  |  com.amazonaws. *Region*.sts  | Antarmuka | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  com.amazonaws. *Region*.ecr.api com.amazonaws. *Region*.ecr.dkr  | Antarmuka | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  com.amazonaws. *Region*.ec2  | Antarmuka | 
|  Amazon Simple Storage Service (Amazon S3)  |  com.amazonaws. *Region*.s3  | Gateway | 
|  Amazon Redshift  |  com.amazonaws. *Region*.redshift-data  | Antarmuka | 
|  AWS Secrets Manager  |  com.amazonaws. *Region*.secretsmanager  | Antarmuka | 
|  AWS Systems Manager  |  com.amazonaws. *Region*.ssm  | Antarmuka | 
|  Amazon CloudWatch  |  com.amazonaws. *Region*.pemantauan  | Antarmuka | 
|   CloudWatch Log Amazon  |  com.amazonaws. *Region*.log  | Antarmuka | 
|  Amazon Forecast  |  com.amazonaws. *Region*.perkiraan com.amazonaws. *Region*.forecastquery  | Antarmuka | 
|  Amazon Textract  |  com.amazonaws. *Region*.textract  | Antarmuka | 
|  Amazon Comprehend  |  com.amazonaws. *Region*.comprehend  | Antarmuka | 
|  Amazon Rekognition  |  com.amazonaws. *Region*.rekognisi  | Antarmuka | 
|  AWS Glue  |  com.amazonaws. *Region*.lem  | Antarmuka | 
|  AWS Application Auto Scaling  |  com.amazonaws. *Region*.application-autoscaling  | Antarmuka | 
|  Amazon Relational Database Service (Amazon RDS)  |  com.amazonaws. *Region*.rds  | Antarmuka | 
|  Amazon Bedrock (lihat catatan demi tabel)  |  com.amazonaws. *Region*.bedrock-runtime  | Antarmuka | 
|  Amazon Kendra  |  com.amazonaws. *Region*.kendra  | Antarmuka | 
|  Amazon EMR Tanpa Server  |  com.amazonaws. *Region*.emr-tanpa server  | Antarmuka | 
|  Pengembang Amazon Q (lihat catatan setelah tabel)  |  com.amazonaws. *Region*.q  | Antarmuka | 

**catatan**  
Titik akhir VPC Pengembang Amazon Q saat ini hanya tersedia di wilayah AS Timur (Virginia N.). Untuk menghubungkannya dari wilayah lain, Anda dapat memilih salah satu opsi berikut berdasarkan preferensi keamanan dan infrastruktur Anda:  
**Siapkan Gateway NAT.** Konfigurasikan Gateway NAT di subnet pribadi VPC Anda untuk mengaktifkan konektivitas internet untuk titik akhir Q Developer. Untuk informasi selengkapnya, lihat [Menyiapkan Gateway NAT di Subnet Pribadi VPC](https://repost.aws/knowledge-center/nat-gateway-vpc-private-subnet).
**Aktifkan akses titik akhir VPC lintas wilayah.** Siapkan akses titik akhir VPC lintas wilayah untuk Pengembang Q. Gunakan opsi ini untuk terhubung dengan aman tanpa memerlukan akses internet. Untuk informasi selengkapnya, lihat [Mengonfigurasi Akses Titik Akhir VPC Lintas](https://repost.aws/knowledge-center/vpc-endpoints-cross-region-aws-services) Wilayah.

**catatan**  
Untuk Amazon Bedrock, nama layanan titik akhir antarmuka tidak digunakan `com.amazonaws.Region.bedrock` lagi. Buat titik akhir VPC baru dengan nama layanan yang tercantum dalam tabel sebelumnya.  
Selain itu, Anda tidak dapat menyempurnakan model foundation dari Canvas VPCs tanpa akses internet. Ini karena Amazon Bedrock tidak mendukung titik akhir VPC untuk penyesuaian model. APIs Untuk mempelajari lebih lanjut tentang fine-tuning model foundation di Canvas, lihat. [Model pondasi yang menyempurnakan](canvas-fm-chat-fine-tune.md)

Anda juga harus menambahkan kebijakan titik akhir untuk Amazon S3 untuk AWS mengontrol akses utama ke titik akhir VPC Anda. Untuk informasi tentang cara memperbarui kebijakan titik akhir VPC Anda, lihat [Mengontrol akses ke titik akhir VPC menggunakan](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) kebijakan titik akhir.

Berikut ini adalah dua kebijakan titik akhir VPC yang dapat Anda gunakan. Gunakan kebijakan pertama jika Anda hanya ingin memberikan akses ke fungsionalitas dasar Canvas, seperti mengimpor data dan membuat model. Gunakan kebijakan kedua jika Anda ingin memberikan akses ke [fitur AI geneneratif](https://docs.aws.amazon.com/sagemaker/latest/dg/canvas-fm-chat.html) tambahan di Canvas.

------
#### [ Basic VPC endpoint policy ]

Kebijakan berikut memberikan akses yang diperlukan ke titik akhir VPC Anda untuk operasi dasar di Canvas.

```
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }
```

------
#### [ Generative AI VPC endpoint policy ]

Kebijakan berikut memberikan akses yang diperlukan ke titik akhir VPC Anda untuk operasi dasar di Canvas, serta menggunakan model dasar AI generatif.

```
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*",
                "arn:aws:s3:::*fmeval/datasets*",
                "arn:aws:s3:::*jumpstart-cache-prod*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }
```

------

### Langkah 3: Berikan izin IAM
<a name="canvas-vpc-configure-permissions"></a>

Pengguna SageMaker Canvas harus memiliki AWS Identity and Access Management izin yang diperlukan untuk memungkinkan koneksi ke titik akhir VPC. Peran IAM yang Anda berikan izin harus sama dengan yang Anda gunakan saat orientasi ke domain Amazon SageMaker AI. Anda dapat melampirkan `AmazonSageMakerFullAccess` kebijakan terkelola SageMaker AI ke peran IAM agar pengguna dapat memberikan izin yang diperlukan kepada pengguna. Jika Anda memerlukan izin IAM yang lebih ketat dan menggunakan kebijakan khusus sebagai gantinya, berikan izin kepada peran pengguna. `ec2:DescribeVpcEndpointServices` SageMaker Canvas memerlukan izin ini untuk memverifikasi keberadaan titik akhir VPC yang diperlukan untuk pekerjaan build standar. Jika mendeteksi titik akhir VPC ini, maka pekerjaan build standar dijalankan secara default di VPC Anda. Jika tidak, mereka akan berjalan di VPC AWS terkelola default.

Untuk petunjuk tentang cara melampirkan kebijakan `AmazonSageMakerFullAccess` IAM ke peran IAM pengguna Anda, lihat [Menambahkan dan menghapus izin identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).

Untuk memberikan `ec2:DescribeVpcEndpointServices` izin terperinci kepada peran IAM pengguna Anda, gunakan prosedur berikut.

1. Masuk ke Konsol Manajemen AWS dan buka [konsol IAM](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**.

1. Dalam daftar, pilih nama peran yang ingin Anda berikan izin.

1. Pilih tab **Izin**.

1. Pilih **Tambahkan izin**, lalu pilih **Buat kebijakan sebaris**.

1. Pilih tab **JSON** dan masukkan kebijakan berikut, yang memberikan izin: `ec2:DescribeVpcEndpointServices`

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "VisualEditor0",
               "Effect": "Allow",
               "Action": "ec2:DescribeVpcEndpointServices",
               "Resource": "*"
           }
       ]
   }
   ```

------

1. Pilih **Kebijakan tinjauan**, lalu masukkan **Nama** untuk kebijakan (misalnya,`VPCEndpointPermissions`).

1. Pilih **Buat kebijakan**.

Peran IAM pengguna sekarang harus memiliki izin untuk mengakses titik akhir VPC yang dikonfigurasi di VPC Anda.

### (Opsional) Langkah 4: Ganti pengaturan grup keamanan untuk pengguna tertentu
<a name="canvas-vpc-configure-override"></a>

Jika Anda seorang administrator, Anda mungkin ingin pengguna yang berbeda memiliki pengaturan VPC yang berbeda, atau pengaturan VPC khusus pengguna. Saat Anda mengganti pengaturan grup keamanan VPC default untuk pengguna tertentu, pengaturan ini diteruskan ke aplikasi SageMaker Canvas untuk pengguna tersebut.

Anda dapat mengganti grup keamanan yang dapat diakses pengguna tertentu di VPC saat menyiapkan profil pengguna baru di Studio Classic. Anda dapat menggunakan panggilan [CreateUserProfile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html) SageMaker API (atau [create\$1user\$1profile](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sagemaker.html#SageMaker.Client.create_user_profile) dengan [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)), dan kemudian di`UserSettings`, Anda dapat menentukan untuk pengguna. `SecurityGroups`