Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Connect ke Amazon SageMaker Studio dan Studio Classic Melalui Antarmuka VPC Endpoint
Anda dapat terhubung ke Amazon SageMaker Studio dan Amazon SageMaker Studio Classic dari Amazon Virtual Private Cloud (Amazon VPC) melalui titik akhir antarmuka di VPC Anda alih-alih terhubung melalui internet. Saat Anda menggunakan titik akhir VPC antarmuka (titik akhir antarmuka), komunikasi antara VPC dan Studio atau Studio Classic dilakukan sepenuhnya dan aman di dalam jaringan. AWS
Studio dan Studio Classic mendukung titik akhir antarmuka yang didukung oleh AWS PrivateLink. Setiap titik akhir antarmuka diwakili oleh satu atau lebih antarmuka jaringan Elastis dengan alamat IP pribadi di subnet VPC Anda.
Studio dan Studio Classic mendukung titik akhir antarmuka di semua AWS Wilayah di mana Amazon SageMaker AI
Topik
Buat Endpoint VPC
Anda dapat membuat titik akhir antarmuka untuk terhubung ke Studio atau Studio Classic dengan AWS konsol atau AWS Command Line Interface (AWS CLI). Untuk instruksi, lihat Membuat titik akhir antarmuka. Pastikan Anda membuat titik akhir antarmuka untuk semua subnet di VPC yang ingin Anda sambungkan ke Studio dan Studio Classic.
Saat Anda membuat titik akhir antarmuka, pastikan bahwa grup keamanan di titik akhir Anda mengizinkan akses masuk untuk lalu lintas HTTPS dari grup keamanan yang terkait dengan Studio dan Studio Classic. Untuk informasi selengkapnya, lihat Mengontrol akses ke layanan dengan titik akhir VPC.
catatan
Selain membuat titik akhir antarmuka untuk terhubung ke Studio dan Studio Classic, buat titik akhir antarmuka untuk terhubung ke Amazon SageMaker API. Ketika pengguna memanggil CreatePresignedDomainUrluntuk mendapatkan URL untuk terhubung ke Studio dan Studio Classic, panggilan itu melewati titik akhir antarmuka yang digunakan untuk terhubung ke SageMaker API.
Saat Anda membuat titik akhir antarmuka, tentukan aws.sagemaker. sebagai nama layanan untuk Studio atau Studio Classic. Setelah Anda membuat titik akhir antarmuka, aktifkan DNS pribadi untuk titik akhir Anda. Saat Anda terhubung ke Studio atau Studio Classic dari dalam VPC menggunakan SageMaker API, the AWS CLI, atau konsol, Anda terhubung melalui titik akhir antarmuka alih-alih internet publik. Anda juga perlu menyiapkan DNS khusus dengan zona yang dihosting pribadi untuk titik akhir VPC Amazon agar Studio atau Studio Classic dapat mengakses API menggunakan titik SageMaker akhir daripada menggunakan Region.studioapi.sagemaker.$region.amazonaws.com URL titik akhir VPC. Untuk petunjuk cara menyiapkan zona host pribadi, lihat Bekerja dengan zona yang dihosting pribadi.
Membuat Kebijakan Titik Akhir VPC untuk Studio atau Studio Classic
Anda dapat melampirkan kebijakan titik akhir VPC Amazon ke titik akhir VPC antarmuka yang Anda gunakan untuk menyambung ke Studio atau Studio Classic. Kebijakan endpoint mengontrol akses ke Studio atau Studio Classic. Anda dapat menentukan sebagai berikut:
-
Prinsipal yang dapat melakukan tindakan.
-
Tindakan yang dapat dilakukan.
-
Sumber daya yang menjadi target tindakan.
Untuk menggunakan titik akhir VPC dengan Studio atau Studio Classic, kebijakan endpoint Anda harus mengizinkan CreateApp pengoperasian pada jenis aplikasi. KernelGateway Ini memungkinkan lalu lintas yang diarahkan ke melalui titik akhir VPC untuk memanggil API. CreateApp Contoh berikut kebijakan titik akhir VPC menunjukkan cara mengizinkan operasi. CreateApp
{ "Statement": [ { "Action": "sagemaker:CreateApp", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*", "Principal": "*" } ] }
Untuk informasi selengkapnya, lihat Mengendalikan akses ke layanan dengan VPC endpoint.
Contoh kebijakan titik akhir VPC berikut menetapkan bahwa semua pengguna yang memiliki akses ke titik akhir diizinkan untuk mengakses profil pengguna di domain SageMaker AI dengan ID domain yang ditentukan. Akses ke domain lain ditolak.
{ "Statement": [ { "Action": "sagemaker:CreatePresignedDomainUrl", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*", "Principal": "*" } ] }
Izinkan Akses Hanya dari Dalam VPC Anda
Pengguna di luar VPC Anda dapat terhubung ke Studio atau Studio Classic melalui internet bahkan jika Anda menyiapkan titik akhir antarmuka di VPC Anda.
Untuk mengizinkan akses hanya ke koneksi yang dibuat dari dalam VPC Anda, buat kebijakan AWS Identity and Access Management (IAM) untuk efek tersebut. Tambahkan kebijakan tersebut ke setiap pengguna, grup, atau peran yang digunakan untuk mengakses Studio atau Studio Classic. Fitur ini hanya didukung saat menggunakan mode IAM untuk otentikasi, dan tidak didukung dalam mode Pusat Identitas IAM. Contoh berikut menunjukkan cara membuat kebijakan tersebut.
penting
Jika Anda menerapkan kebijakan IAM yang mirip dengan salah satu contoh berikut, pengguna tidak dapat mengakses Studio atau Studio Classic atau yang ditentukan SageMaker APIs melalui konsol SageMaker AI. Untuk mengakses Studio atau Studio Classic, pengguna harus menggunakan URL yang telah ditetapkan sebelumnya atau menelepon SageMaker APIs langsung.
Contoh 1: Izinkan koneksi hanya dalam subnet dari titik akhir antarmuka
Kebijakan berikut hanya mengizinkan koneksi ke penelepon dalam subnet tempat Anda membuat titik akhir antarmuka.
{ "Id": "sagemaker-studio-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc":"vpc-111bbaaa"} } } ] }
Contoh 2: Izinkan koneksi hanya melalui titik akhir antarmuka menggunakan aws:sourceVpce
Kebijakan berikut hanya mengizinkan koneksi ke koneksi yang dibuat melalui titik akhir antarmuka yang ditentukan oleh kunci aws:sourceVpce kondisi. Misalnya, titik akhir antarmuka pertama dapat memungkinkan akses melalui konsol SageMaker AI. Titik akhir antarmuka kedua dapat memungkinkan akses melalui SageMaker API.
{ "Id": "sagemaker-studio-example-2", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": ["vpce-111bbccc","vpce-111bbddd"] } } } ] }
Kebijakan ini mencakup DescribeUserProfiletindakan. Biasanya Anda menelepon DescribeUserProfile untuk memastikan bahwa status profil pengguna InService sebelum Anda mencoba untuk terhubung ke domain. Misalnya:
aws sagemaker describe-user-profile \ --domain-iddomain-id\ --user-profile-nameprofile-name
Respons:
{ "DomainId": "domain-id", "UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name", "UserProfileName": "profile-name", "HomeEfsFileSystemUid": "200001", "Status": "InService", "LastModifiedTime": 1605418785.555, "CreationTime": 1605418477.297 }
aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name
Respons:
{ "AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken" }
Untuk kedua panggilan ini, jika Anda menggunakan versi AWS SDK yang dirilis sebelum 13 Agustus 2018, Anda harus menentukan URL titik akhir dalam panggilan. Misalnya, contoh berikut menunjukkan panggilan kecreate-presigned-domain-url:
aws sagemaker create-presigned-domain-url --domain-iddomain-id\ --user-profile-nameprofile-name\ --endpoint-urlvpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com
Contoh 3: Izinkan koneksi dari alamat IP menggunakan aws:SourceIp
Kebijakan berikut mengizinkan koneksi hanya dari rentang alamat IP yang ditentukan menggunakan kunci aws:SourceIp kondisi.
{ "Id": "sagemaker-studio-example-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "IpAddress": { "aws:SourceIp": ["192.0.2.0/24","203.0.113.0/24"] } } } ] }
Contoh 4: Izinkan koneksi dari alamat IP melalui titik akhir antarmuka menggunakan aws:VpcSourceIp
Jika Anda mengakses Studio atau Studio Classic melalui titik akhir antarmuka, Anda dapat menggunakan tombol aws:VpcSourceIp kondisi untuk mengizinkan koneksi hanya dari rentang alamat IP yang ditentukan dalam subnet tempat Anda membuat titik akhir antarmuka seperti yang ditunjukkan dalam kebijakan berikut:
{ "Id": "sagemaker-studio-example-4", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable SageMaker Studio Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeUserProfile" ], "Resource": "*", "Condition": { "IpAddress": { "aws:VpcSourceIp": ["192.0.2.0/24","203.0.113.0/24"] }, "StringEquals": { "aws:SourceVpc":"vpc-111bbaaa"} } } ] }
