Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Connect ke Amazon SageMaker Studio dan Studio Classic Melalui Antarmuka VPC Endpoint
<a name="studio-interface-endpoint"></a>

Anda dapat terhubung ke Amazon SageMaker Studio dan Amazon SageMaker Studio Classic dari [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) (Amazon VPC) melalui [titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) di VPC Anda alih-alih terhubung melalui internet. Saat Anda menggunakan titik akhir VPC antarmuka (titik akhir antarmuka), komunikasi antara VPC dan Studio atau Studio Classic dilakukan sepenuhnya dan aman di dalam jaringan. AWS 

Studio dan Studio Classic mendukung titik akhir antarmuka yang didukung oleh [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html). Setiap titik akhir antarmuka diwakili oleh satu atau lebih [antarmuka jaringan Elastis](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) dengan alamat IP pribadi di subnet VPC Anda.

Studio dan Studio Classic mendukung titik akhir antarmuka di semua AWS Wilayah di mana [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/pricing/) dan [Amazon VPC](https://aws.amazon.com/vpc/pricing/) tersedia.

**Topics**
+ [Buat Endpoint VPC](#studio-interface-endpoint-create)
+ [Membuat Kebijakan Titik Akhir VPC untuk Studio atau Studio Classic](#studio-private-link-policy)
+ [Izinkan Akses Hanya dari Dalam VPC Anda](#studio-private-link-restrict)

## Buat Endpoint VPC
<a name="studio-interface-endpoint-create"></a>

Anda dapat membuat titik akhir antarmuka untuk terhubung ke Studio atau Studio Classic dengan AWS konsol atau AWS Command Line Interface (AWS CLI). Untuk instruksi, lihat [Membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Pastikan Anda membuat titik akhir antarmuka untuk semua subnet di VPC yang ingin Anda sambungkan ke Studio dan Studio Classic. 

Saat Anda membuat titik akhir antarmuka, pastikan bahwa grup keamanan di titik akhir Anda mengizinkan akses masuk untuk lalu lintas HTTPS dari grup keamanan yang terkait dengan Studio dan Studio Classic. Untuk informasi selengkapnya, lihat [Mengontrol akses ke layanan dengan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).

**catatan**  
Selain membuat titik akhir antarmuka untuk terhubung ke Studio dan Studio Classic, buat titik akhir antarmuka untuk terhubung ke Amazon SageMaker API. Ketika pengguna memanggil [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html)untuk mendapatkan URL untuk terhubung ke Studio dan Studio Classic, panggilan itu melewati titik akhir antarmuka yang digunakan untuk terhubung ke SageMaker API.

Saat Anda membuat titik akhir antarmuka, tentukan **aws.sagemaker.*Region*.studio** sebagai nama layanan untuk Studio atau Studio Classic. Setelah Anda membuat titik akhir antarmuka, aktifkan DNS pribadi untuk titik akhir Anda. Saat Anda terhubung ke Studio atau Studio Classic dari dalam VPC menggunakan SageMaker API, the AWS CLI, atau konsol, Anda terhubung melalui titik akhir antarmuka alih-alih internet publik. Anda juga perlu menyiapkan DNS khusus dengan zona host pribadi untuk titik akhir VPC Amazon agar Studio atau Studio Classic dapat mengakses API menggunakan titik SageMaker akhir daripada menggunakan `api.sagemaker.$region.amazonaws.com` URL titik akhir VPC. Untuk petunjuk cara menyiapkan zona host pribadi, lihat [Bekerja dengan zona yang dihosting pribadi](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html).

## Membuat Kebijakan Titik Akhir VPC untuk Studio atau Studio Classic
<a name="studio-private-link-policy"></a>

Anda dapat melampirkan kebijakan titik akhir VPC Amazon ke titik akhir VPC antarmuka yang Anda gunakan untuk menyambung ke Studio atau Studio Classic. Kebijakan endpoint mengontrol akses ke Studio atau Studio Classic. Anda dapat menentukan sebagai berikut:
+ Prinsipal yang dapat melakukan tindakan.
+ Tindakan yang dapat dilakukan.
+ Sumber daya yang menjadi target tindakan. 

Untuk menggunakan titik akhir VPC dengan Studio atau Studio Classic, kebijakan endpoint Anda harus mengizinkan `CreateApp` pengoperasian pada jenis aplikasi. KernelGateway Ini memungkinkan lalu lintas yang diarahkan ke melalui titik akhir VPC untuk memanggil API. `CreateApp` Contoh berikut kebijakan titik akhir VPC menunjukkan cara mengizinkan operasi. `CreateApp`

```
{
 "Statement": [
   {
     "Action": "sagemaker:CreateApp",
     "Effect": "Allow",
     "Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*",
     "Principal": "*"
   }
 ]
}
```

Untuk informasi selengkapnya, lihat [Mengendalikan akses ke layanan dengan VPC endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).

Contoh kebijakan titik akhir VPC berikut menetapkan bahwa semua pengguna yang memiliki akses ke titik akhir diizinkan untuk mengakses profil pengguna di domain SageMaker AI dengan ID domain yang ditentukan. Akses ke domain lain ditolak.

```
{
  "Statement": [
      {
          "Action": "sagemaker:CreatePresignedDomainUrl",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*",
          "Principal": "*"
      }
  ]
}
```

## Izinkan Akses Hanya dari Dalam VPC Anda
<a name="studio-private-link-restrict"></a>

Pengguna di luar VPC Anda dapat terhubung ke Studio atau Studio Classic melalui internet bahkan jika Anda menyiapkan titik akhir antarmuka di VPC Anda.

Untuk mengizinkan akses hanya ke koneksi yang dibuat dari dalam VPC Anda, buat kebijakan AWS Identity and Access Management (IAM) untuk efek itu. Tambahkan kebijakan tersebut ke setiap pengguna, grup, atau peran yang digunakan untuk mengakses Studio atau Studio Classic. Fitur ini hanya didukung saat menggunakan mode IAM untuk otentikasi, dan tidak didukung dalam mode Pusat Identitas IAM. Contoh berikut menunjukkan cara membuat kebijakan tersebut.

**penting**  
Jika Anda menerapkan kebijakan IAM yang mirip dengan salah satu contoh berikut, pengguna tidak dapat mengakses Studio atau Studio Classic atau yang ditentukan SageMaker APIs melalui konsol SageMaker AI. Untuk mengakses Studio atau Studio Classic, pengguna harus menggunakan URL yang telah ditetapkan sebelumnya atau menelepon SageMaker APIs langsung.

**Contoh 1: Izinkan koneksi hanya dalam subnet dari titik akhir antarmuka**

Kebijakan berikut hanya mengizinkan koneksi ke penelepon dalam subnet tempat Anda membuat titik akhir antarmuka.

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-studio-example-1",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EnableSageMakerStudioAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}
```

------

**Contoh 2: Izinkan koneksi hanya melalui titik akhir antarmuka menggunakan `aws:sourceVpce`**

Kebijakan berikut hanya mengizinkan koneksi ke koneksi yang dibuat melalui titik akhir antarmuka yang ditentukan oleh kunci `aws:sourceVpce` kondisi. Misalnya, titik akhir antarmuka pertama dapat memungkinkan akses melalui konsol SageMaker AI. Titik akhir antarmuka kedua dapat memungkinkan akses melalui SageMaker API.

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-studio-example-2",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EnableSageMakerStudioAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}
```

------

Kebijakan ini mencakup [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html)tindakan. Biasanya Anda menelepon `DescribeUserProfile` untuk memastikan bahwa status profil pengguna `InService` sebelum Anda mencoba untuk terhubung ke domain. Contoh:

```
aws sagemaker describe-user-profile \
    --domain-id domain-id \
    --user-profile-name profile-name
```

Respons:

```
{
    "DomainId": "domain-id",
    "UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name",
    "UserProfileName": "profile-name",
    "HomeEfsFileSystemUid": "200001",
    "Status": "InService",
    "LastModifiedTime": 1605418785.555,
    "CreationTime": 1605418477.297
}
```

```
aws sagemaker create-presigned-domain-url
    --domain-id domain-id \
    --user-profile-name profile-name
```

Respons:

```
{
    "AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken"
}
```

Untuk kedua panggilan ini, jika Anda menggunakan versi AWS SDK yang dirilis sebelum 13 Agustus 2018, Anda harus menentukan URL titik akhir dalam panggilan. Misalnya, contoh berikut menunjukkan panggilan ke`create-presigned-domain-url`:

```
aws sagemaker create-presigned-domain-url
    --domain-id domain-id \
    --user-profile-name profile-name \
    --endpoint-url vpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com
```

**Contoh 3: Izinkan koneksi dari alamat IP menggunakan `aws:SourceIp`**

Kebijakan berikut mengizinkan koneksi hanya dari rentang alamat IP yang ditentukan menggunakan kunci `aws:SourceIp` kondisi.

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-studio-example-3",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EnableSageMakerStudioAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            }
        }
    ]
}
```

------

**Contoh 4: Izinkan koneksi dari alamat IP melalui titik akhir antarmuka menggunakan `aws:VpcSourceIp`** 

Jika Anda mengakses Studio atau Studio Classic melalui titik akhir antarmuka, Anda dapat menggunakan tombol `aws:VpcSourceIp` kondisi untuk mengizinkan koneksi hanya dari rentang alamat IP yang ditentukan dalam subnet tempat Anda membuat titik akhir antarmuka seperti yang ditunjukkan dalam kebijakan berikut:

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-studio-example-4",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EnableSageMakerStudioAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedDomainUrl",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                },
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}
```

------