Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Connettiti all' SageMaker IA all'interno del tuo VPC
Puoi connetterti direttamente all' SageMaker API o ad Amazon SageMaker Runtime tramite un [endpoint di interfaccia](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) nel tuo cloud privato virtuale (VPC) invece di connetterti tramite Internet. Quando utilizzi un endpoint di interfaccia VPC, la comunicazione tra il tuo VPC e l'API SageMaker AI o Runtime viene condotta in modo completo e sicuro all'interno di una rete. AWS
## Connect all' SageMaker AI tramite un endpoint con interfaccia VPC
L' SageMaker API e SageMaker AI Runtime supportano gli endpoint di interfaccia [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) basati su. [AWS PrivateLink](https://aws.amazon.com/privatelink) Ogni endpoint VPC è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) con indirizzi IP privati nelle sottoreti del tuo VPC. Ad esempio, un'applicazione all'interno del tuo VPC comunica con SageMaker AI Runtime. AWS PrivateLink SageMaker AI Runtime a sua volta comunica con l'endpoint SageMaker AI. L'utilizzo ti AWS PrivateLink consente di richiamare il tuo endpoint SageMaker AI dall'interno del tuo VPC, come mostrato nel diagramma seguente.
![\[\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/images/security-vpc-SM.png)
L'endpoint dell'interfaccia VPC collega il tuo VPC direttamente all' SageMaker API o al Runtime SageMaker AI AWS PrivateLink senza utilizzare un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect Non è necessario che le istanze del tuo VPC si connettano alla rete Internet pubblica per comunicare con l'API SageMaker o SageMaker l'AI Runtime.
Puoi creare un endpoint di AWS PrivateLink interfaccia per connetterti ad SageMaker AI o ad SageMaker AI Runtime utilizzando Console di gestione AWS o AWS Command Line Interface ().AWS CLI Per istruzioni, consulta [Accedere a un AWS servizio utilizzando un endpoint VPC di interfaccia](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint).
Se non hai abilitato un nome host DNS (Domain Name System) privato per il tuo endpoint VPC, *dopo aver creato un endpoint VPC, specifica l'URL dell'endpoint* Internet per l'API o AI Runtime. SageMaker SageMaker Segue un esempio di codice che utilizza AWS CLI i comandi per specificare il parametro. `endpoint-url`
```
aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \
--endpoint-name Endpoint_Name \
--body "Endpoint_Body" \
--content-type "Content_Type" \
Output_File
```
Se abiliti i nomi host DNS privati per il tuo endpoint VPC, non è necessario specificare l'URL dell'endpoint perché è il nome host predefinito (https://api.sagemaker). *Region*.amazon.com) si risolve nel tuo endpoint VPC. Analogamente, il nome host DNS predefinito SageMaker di AI Runtime (https://runtime.sagemaker. *Region*.amazonaws.com) si risolve anche sul tuo endpoint VPC.
[L' SageMaker API e SageMaker AI Runtime supportano gli endpoint VPC ovunque siano disponibili Regioni AWS sia Amazon [VPC](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) che AI. SageMaker ](https://docs.aws.amazon.com/general/latest/gr/rande.html#sagemaker_region) SageMaker L'intelligenza artificiale supporta le chiamate verso tutti i suoi dispositivi [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations.html)all'interno del tuo VPC. Se utilizzi `AuthorizedUrl` dal comando [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html), il traffico passerà tramite la rete Internet pubblica. Non puoi utilizzare solo un endpoint VPC per accedere all’URL prefirmato, perché la richiesta deve passare attraverso il gateway Internet.
Per impostazione predefinita, gli utenti possono condividere l’URL prefirmato con persone esterne alla rete aziendale. Per una maggiore sicurezza, è necessario aggiungere le autorizzazioni IAM per limitare l’utilizzo dell’URL solo all’interno della tua rete. Per informazioni sulle autorizzazioni IAM, consulta [How AWS PrivateLink works with](https://docs.aws.amazon.com/vpc/latest/privatelink/security_iam_service-with-iam.html) IAM.
**Nota**
Quando si configura un endpoint di interfaccia VPC per il servizio SageMaker AI Runtime (https://runtime.sagemaker. `Region`.amazonaws.com), devi assicurarti che l'endpoint dell'interfaccia VPC sia attivato nella zona di disponibilità del tuo client affinché la risoluzione DNS privata funzioni. Altrimenti, potresti riscontrare errori DNS durante il tentativo di risolvere l'URL.
[Per ulteriori informazioni, consulta la documentazione. AWS PrivateLinkAWS PrivateLink](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink) Fai riferimento a [Prezzi di AWS PrivateLink](https://aws.amazon.com/privatelink/pricing/) per il prezzo di endpoint VPC. Per ulteriori informazioni su VPC ed endpoint, consulta [Amazon VPC](https://aws.amazon.com/vpc/). Per informazioni su come utilizzare le AWS Identity and Access Management policy basate sull'identità per limitare l'accesso all' SageMaker API e all' SageMaker AI Runtime, consulta. [Controlla l'accesso all'API SageMaker AI utilizzando politiche basate sull'identità](security_iam_id-based-policy-examples.md#api-access-policy)
## Utilizzo della SageMaker formazione e dell'hosting con risorse all'interno del tuo VPC
SageMaker L'intelligenza artificiale utilizza il tuo ruolo di esecuzione per scaricare e caricare informazioni da un bucket Amazon S3 e Amazon Elastic Container Registry (Amazon ECR), indipendentemente dal tuo contenitore di addestramento o inferenza. Se disponi di risorse che si trovano all'interno del tuo VPC, puoi comunque concedere all' SageMaker IA l'accesso a tali risorse. Le sezioni seguenti spiegano come rendere le risorse disponibili all' SageMaker IA con o senza isolamento della rete.
### Senza isolamento di rete abilitato
Se non hai impostato l'isolamento della rete nel tuo lavoro o modello di formazione, l' SageMaker IA può accedere alle risorse utilizzando uno dei seguenti metodi.
+ SageMaker i contenitori di formazione e di inferenza distribuiti possono accedere a Internet per impostazione predefinita. SageMaker I container di intelligenza artificiale sono in grado di accedere a servizi e risorse esterne sulla rete Internet pubblica come parte dei carichi di lavoro di formazione e inferenza. SageMaker I container AI non sono in grado di accedere alle risorse all'interno del tuo VPC senza una configurazione VPC, come mostrato nella figura seguente.
![\[\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/images/security-vpc-no-config.png)
+ Utilizza la configurazione di un VPC per comunicare con le risorse presenti all'interno del tuo VPC tramite un'interfaccia di rete elastica (ENI). La comunicazione tra il container e le risorse del tuo VPC avviene in modo sicuro all'interno della tua rete VPC, come mostrato nella figura seguente. In questo caso, gestisci l'accesso in rete alle risorse del tuo VPC e a Internet.
![\[\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/images/security-vpc-config.png)
### Con isolamento di rete
Se utilizzi l'isolamento della rete, il contenitore SageMaker AI non può comunicare con le risorse all'interno del tuo VPC o effettuare chiamate di rete, come mostrato nella figura seguente. Se fornisci la configurazione di un VPC, le operazioni di scaricamento e caricamento verranno eseguite tramite il tuo VPC. Per ulteriori informazioni sull'hosting e sull'addestramento con isolamento di rete durante l'utilizzo di un VPC, consulta [Isolamento di rete](mkt-algo-model-internet-free.md#mkt-algo-model-internet-free-isolation).
![\[\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/images/security-network-isolation-no-config.png)
## Crea una policy sugli endpoint VPC per l'IA SageMaker
Puoi creare una policy per gli endpoint Amazon VPC per l' SageMaker intelligenza artificiale per specificare quanto segue:
+ Il principale che può eseguire azioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire operazioni.
Per ulteriori informazioni, consultare [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) nella *Guida per l'utente di Amazon VPC*.
**Nota**
Le policy degli endpoint VPC non sono supportate per gli endpoint di runtime SageMaker AI del Federal Information Processing Standard (FIPS) per. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html)
Il seguente esempio di politica degli endpoint VPC specifica che tutti gli utenti che hanno accesso all'endpoint dell'interfaccia VPC possono richiamare l'endpoint ospitato dall'IA denominato. SageMaker `myEndpoint`
```
{
"Statement": [
{
"Action": "sagemaker:InvokeEndpoint",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
"Principal": "*"
}
]
}
```
In questo esempio, viene rifiutato quanto segue:
+ Altre SageMaker azioni API, come e. `sagemaker:CreateEndpoint` `sagemaker:CreateTrainingJob`
+ Invocare endpoint ospitati da SageMaker AI diversi da. `myEndpoint`
**Nota**
In questo esempio, gli utenti possono comunque eseguire altre azioni SageMaker API dall'esterno del VPC. Per informazioni su come limitare chiamate API per gli utenti interni al VPC, consulta [Controlla l'accesso all'API SageMaker AI utilizzando politiche basate sull'identità](security_iam_id-based-policy-examples.md#api-access-policy).
## Crea una policy sugli endpoint VPC per Amazon Feature Store SageMaker
Per creare un endpoint VPC per Amazon SageMaker Feature Store, utilizza il seguente modello di endpoint, sostituendo il tuo e: *VPC\$1Endpoint\$1ID.api* *Region*
`VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com`
# Connettiti ad Amazon SageMaker Studio e Studio Classic tramite un'interfaccia VPC Endpoint
Puoi connetterti ad Amazon SageMaker Studio e Amazon SageMaker Studio Classic dal tuo [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) (Amazon VPC) tramite un [endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) nel tuo VPC anziché collegarti a Internet. Quando utilizzi un endpoint VPC di interfaccia (endpoint di interfaccia), la comunicazione tra il tuo VPC e Studio o Studio Classic viene condotta in modo completo e sicuro all'interno della rete. AWS
Studio e Studio Classic supportano gli endpoint di interfaccia che utilizzano la tecnologia [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html). Ogni endpoint di interfaccia è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) con indirizzi IP privati nelle sottoreti del tuo VPC.
Studio e Studio Classic supportano gli endpoint di interfaccia in tutte le AWS regioni in cui sono [disponibili sia Amazon SageMaker AI](https://aws.amazon.com/sagemaker/pricing/) che [Amazon VPC](https://aws.amazon.com/vpc/pricing/).
**Topics**
+ [Creare un endpoint VPC](#studio-interface-endpoint-create)
+ [Creazione di una policy degli endpoint VPC per Studio o Studio Classic](#studio-private-link-policy)
+ [Autorizzazione dell'accesso solo dall'interno del tuo VPC](#studio-private-link-restrict)
## Creare un endpoint VPC
Puoi creare un endpoint di interfaccia per connetterti a Studio o Studio Classic con la AWS console o (). AWS Command Line Interface AWS CLI Per le istruzioni, consulta [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Assicurati di creare un endpoint di interfaccia per tutte le sottoreti nel tuo VPC da cui desideri connetterti a Studio o Studio Classic.
Quando crei un endpoint di interfaccia, assicurati che i gruppi di sicurezza sull’endpoint consentano l’accesso in entrata per il traffico HTTPS dai gruppi di sicurezza associati a Studio e Studio Classic. Per ulteriori informazioni, consulta [Controllo dell'accesso ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).
**Nota**
Oltre a creare un endpoint di interfaccia per la connessione a Studio e Studio Classic, crea un endpoint di interfaccia per la connessione all'API Amazon SageMaker . Quando gli utenti chiamano [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html)per ottenere l'URL per connettersi a Studio e Studio Classic, la chiamata passa attraverso l'endpoint di interfaccia utilizzato per connettersi all'API. SageMaker
Quando crei l’endpoint di interfaccia, specifica **aws.sagemaker.*Region*.studio** come nome del servizio per Studio o Studio Classic. Dopo aver creato un endpoint di interfaccia, abilita il DNS privato per il tuo endpoint. Quando ti connetti a Studio o Studio Classic dall'interno del VPC utilizzando l' SageMaker API, la o la console AWS CLI, ti connetti tramite l'endpoint dell'interfaccia anziché la rete Internet pubblica. È inoltre necessario configurare un DNS personalizzato con zone ospitate private per l'endpoint Amazon VPC in modo che Studio o Studio Classic possano accedere all'API utilizzando SageMaker l'endpoint anziché `api.sagemaker.$region.amazonaws.com` l'URL dell'endpoint VPC. Per istruzioni sulla configurazione di una zona ospitata privata, consulta [Utilizzo delle zone ospitate private](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html).
## Creazione di una policy degli endpoint VPC per Studio o Studio Classic
Puoi collegare una policy degli endpoint Amazon VPC agli endpoint VPC di interfaccia che utilizzi per connetterti a Studio o Studio Classic. La policy degli endpoint controlla l’accesso a Studio o Studio Classic. Puoi specificare quanto segue:
+ Il principale che può eseguire azioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire azioni.
Per utilizzare un endpoint VPC con Studio o Studio Classic, la policy dell'endpoint deve consentire il `CreateApp` funzionamento sul tipo di app. KernelGateway Ciò consente al traffico indirizzato attraverso l'endpoint VPC di chiamare l'API `CreateApp`. Il seguente esempio di policy di endpoint VPC mostra come consentire l'operazione `CreateApp`.
```
{
"Statement": [
{
"Action": "sagemaker:CreateApp",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*",
"Principal": "*"
}
]
}
```
Per ulteriori informazioni, consulta [Controllo dell'accesso ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).
Il seguente esempio di policy per gli endpoint VPC specifica che tutti gli utenti che hanno accesso all'endpoint possono accedere ai profili utente nel dominio SageMaker AI con l'ID di dominio specificato. L'accesso ad altri domini viene negato.
```
{
"Statement": [
{
"Action": "sagemaker:CreatePresignedDomainUrl",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*",
"Principal": "*"
}
]
}
```
## Autorizzazione dell'accesso solo dall'interno del tuo VPC
Gli utenti esterni al tuo VPC possono connettersi a Studio o Studio Classic tramite Internet anche se configuri un endpoint di interfaccia nel tuo VPC.
Per consentire l'accesso solo alle connessioni effettuate dall'interno del tuo VPC, crea una policy AWS Identity and Access Management (IAM) in tal senso. Aggiungi la policy a ogni utente, gruppo o ruolo utilizzato per accedere a Studio o Studio Classic. Questa funzionalità è supportata solo con l’autenticazione in modalità IAM, non in modalità Centro identità IAM. I seguenti esempi illustrano come creare tali policy.
**Importante**
Se applichi una policy IAM simile a uno degli esempi seguenti, gli utenti non possono accedere a Studio o Studio Classic o a quanto specificato SageMaker APIs tramite la console AI. SageMaker Per accedere a Studio o Studio Classic, gli utenti devono utilizzare un URL predefinito o SageMaker APIs chiamarlo direttamente.
**Esempio 1: consenti le connessioni solo all'interno della sottorete di un endpoint di interfaccia**
La seguente policy consente connessioni solo ai chiamanti all'interno di una sottorete in cui è stato creato un endpoint di interfaccia.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
**Esempio 2: consenti le connessioni solo tramite gli endpoint di interfaccia utilizzando `aws:sourceVpce`**
La seguente policy consente le connessioni solo a quelle effettuate tramite gli endpoint di interfaccia specificati dalla chiave di condizione `aws:sourceVpce`. Ad esempio, il primo endpoint di interfaccia potrebbe consentire l'accesso tramite la console SageMaker AI. Il secondo endpoint di interfaccia potrebbe consentire l'accesso tramite l' SageMaker API.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
Questa policy include l'operazione [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html). In genere chiami `DescribeUserProfile` per assicurarti che lo stato del profilo utente sia `InService` prima di provare a connetterti al dominio. Esempio:
```
aws sagemaker describe-user-profile \
--domain-id domain-id \
--user-profile-name profile-name
```
Risposta:
```
{
"DomainId": "domain-id",
"UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name",
"UserProfileName": "profile-name",
"HomeEfsFileSystemUid": "200001",
"Status": "InService",
"LastModifiedTime": 1605418785.555,
"CreationTime": 1605418477.297
}
```
```
aws sagemaker create-presigned-domain-url
--domain-id domain-id \
--user-profile-name profile-name
```
Risposta:
```
{
"AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken"
}
```
Per entrambe queste chiamate, se utilizzi una versione dell' AWS SDK rilasciata prima del 13 agosto 2018, devi specificare l'URL dell'endpoint nella chiamata. Ad esempio, il seguente esempio mostra una chiamata a `create-presigned-domain-url`:
```
aws sagemaker create-presigned-domain-url
--domain-id domain-id \
--user-profile-name profile-name \
--endpoint-url vpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com
```
**Esempio 3: consenti connessioni da indirizzi IP utilizzando `aws:SourceIp` **
La seguente policy consente le connessioni solo dall'intervallo specificato di indirizzi IP utilizzando la chiave di condizione `aws:SourceIp`.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
**Esempio 4: consenti le connessioni da indirizzi IP tramite un endpoint di interfaccia utilizzando `aws:VpcSourceIp`**
Se accedi a Studio o Studio Classic tramite un endpoint di interfaccia, puoi utilizzare la chiave di condizione `aws:VpcSourceIp` per consentire le connessioni solo dall’intervallo specificato di indirizzi IP all’interno della sottorete in cui è stato creato l’endpoint di interfaccia, come mostrato nella policy seguente:
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-4",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
# Connessione a un server MLflow di tracciamento tramite un endpoint VPC di interfaccia
Il server di MLflow tracciamento viene eseguito in un Amazon Virtual Private Cloud gestito da Amazon SageMaker AI. Puoi connetterti a un server di MLflow tracciamento da un endpoint nel tuo VPC. Le tue richieste al server di tracciamento non sono esposte alla rete Internet pubblica. Per ulteriori informazioni sulla connessione del VPC all' SageMaker AI, consulta. [Connettiti all' SageMaker IA all'interno del tuo VPC](interface-vpc-endpoint.md)
**Topics**
+ [Creare un endpoint VPC](mlflow-interface-endpoint-create.md)
+ [Crea una policy sugli endpoint VPC per l'IA SageMaker MLflow](mlflow-private-link-policy.md)
+ [Autorizzazione dell’accesso solo dall’interno del tuo VPC](mlflow-private-link-restrict.md)
# Creare un endpoint VPC
Puoi creare un endpoint di interfaccia per connetterti all' SageMaker IA. MLflow Per le istruzioni, consulta [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Assicurati di creare endpoint di interfaccia per tutte le sottoreti del tuo VPC da cui desideri connetterti all'IA. SageMaker MLflow
Quando crei un endpoint di interfaccia, assicurati che i gruppi di sicurezza sull’endpoint consentano l’accesso in entrata e in uscita per il traffico HTTPS. Per ulteriori informazioni, consulta [Controllo dell'accesso ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).
**Nota**
Oltre a creare un endpoint di interfaccia per connettersi all' SageMaker intelligenza artificiale MLflow, crea un endpoint di interfaccia per connettersi all'API Amazon SageMaker . Quando gli utenti chiamano [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html)per ottenere l'URL per connettersi all' SageMaker IA MLflow, quella chiamata passa attraverso l'endpoint di interfaccia utilizzato per connettersi all'API. SageMaker
Quando crei l'endpoint di interfaccia, specifica **aws.sagemaker.*Regione AWS*.experiments** come nome del servizio. Dopo aver creato un endpoint di interfaccia, abilita il DNS privato per il tuo endpoint. Quando ti connetti all' SageMaker intelligenza artificiale MLflow dall'interno del VPC utilizzando SageMaker Python SDK, ti connetti tramite l'endpoint dell'interfaccia anziché la rete Internet pubblica.
All'interno di Console di gestione AWS, puoi utilizzare la seguente procedura per creare un endpoint.
**Come creare un endpoint**
1. Accedi alla [console di Amazon Virtual Private Cloud](https://console.aws.amazon.com/vpcconsole).
1. Passa a **Endpoint**.
1. Seleziona **Crea endpoint**.
1. (Facoltativo) In **Nome (tag)**, specifica un nome per l’endpoint.
1. Nella barra di ricerca, sotto **Servizi**, specifica **Esperimenti**.
1. Seleziona l’endpoint che stai creando.
1. In **VPC**, specifica il nome del VPC.
1. Seleziona **Crea endpoint**.
# Crea una policy sugli endpoint VPC per l'IA SageMaker MLflow
Puoi allegare una policy degli endpoint Amazon VPC agli endpoint VPC di interfaccia che usi per connetterti all'AI. SageMaker MLflow La policy degli endpoint controlla l'accesso a. MLflow È possibile specificare quanto segue:
+ Il principale che può eseguire azioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire azioni.
Per ulteriori informazioni, consulta [Controllo dell'accesso ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).
Il seguente esempio di policy per gli endpoint VPC specifica che tutti gli utenti che hanno accesso all'endpoint possono accedere al server di MLflow tracciamento specificato. L’accesso ad altri server di tracciamento viene rifiutato.
```
{
"Statement": [
{
"Action": "sagemaker-mlflow:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "arn:aws:sagemaker:Regione AWS:111122223333:mlflow-tracking-server/*"
}
]
}
```
# Autorizzazione dell’accesso solo dall’interno del tuo VPC
Gli utenti esterni al tuo VPC possono connettersi all' SageMaker IA MLflow o tramite Internet anche se configuri un endpoint di interfaccia nel tuo VPC.
Per consentire l'accesso solo alle connessioni effettuate dall'interno del tuo VPC, crea una policy AWS Identity and Access Management (IAM) in tal senso. Aggiungi questa policy a ogni utente, gruppo o ruolo utilizzato per accedere all'IA. SageMaker MLflow Questa funzionalità è supportata solo con l’autenticazione in modalità IAM, non in modalità Centro identità IAM. I seguenti esempi illustrano come creare tali policy.
**Importante**
Se applichi una policy IAM simile a uno dei seguenti esempi, gli utenti non possono accedere all' SageMaker IA MLflow tramite quanto specificato SageMaker APIs tramite la console SageMaker AI. Per accedere all' SageMaker IA MLflow, gli utenti devono utilizzare un URL predefinito o SageMaker APIs chiamarlo direttamente.
**Esempio 1: consenti le connessioni solo all'interno della sottorete di un endpoint di interfaccia**
La seguente policy consente connessioni solo ai chiamanti all'interno di una sottorete in cui è stato creato un endpoint di interfaccia.
------
#### [ JSON ]
****
```
{
"Id": "mlflow-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-111bbaaa"
}
}
}
]
}
```
------
**Esempio 2: consenti le connessioni solo tramite gli endpoint di interfaccia utilizzando `aws:sourceVpce`**
La seguente policy consente le connessioni solo a quelle effettuate tramite gli endpoint di interfaccia specificati dalla chiave di condizione `aws:sourceVpce`. Ad esempio, il primo endpoint di interfaccia potrebbe consentire l'accesso tramite la console SageMaker AI. Il secondo endpoint di interfaccia potrebbe consentire l'accesso tramite l' SageMaker API.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
**Esempio 3: consenti connessioni da indirizzi IP utilizzando `aws:SourceIp` **
La seguente policy consente le connessioni solo dall'intervallo specificato di indirizzi IP utilizzando la chiave di condizione `aws:SourceIp`.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
**Esempio 4: consenti le connessioni da indirizzi IP tramite un endpoint di interfaccia utilizzando `aws:VpcSourceIp`**
Se accedi all' SageMaker IA MLflow tramite un endpoint di interfaccia, puoi utilizzare la chiave `aws:VpcSourceIp` condition per consentire le connessioni solo dall'intervallo specificato di indirizzi IP all'interno della sottorete in cui è stato creato l'endpoint di interfaccia, come mostrato nella seguente politica:
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-4",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
# Connessione a un'istanza del notebook tramite un endpoint VPC di interfaccia
Puoi connetterti all'istanza del notebook dal tuo VPC tramite un [endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) nel cloud privato virtuale (VPC) invece di connetterti tramite la rete Internet pubblica. Quando utilizzi un endpoint VPC di interfaccia, la comunicazione tra il tuo VPC e l'istanza del notebook avviene interamente e in modo sicuro all'interno della rete AWS .
SageMaker le istanze notebook supportano gli endpoint di interfaccia [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) alimentati da. [AWS PrivateLink](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink) Ogni endpoint VPC è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) con indirizzi IP privati nelle sottoreti del tuo VPC.
**Nota**
Prima di creare un endpoint VPC di interfaccia per la connessione a un'istanza notebook, crea un endpoint VPC di interfaccia per connetterti all'API. SageMaker In questo modo, quando gli utenti chiamano [
CreatePresignedNotebookInstanceUrl](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html) per ottenere l'URL per connettersi all'istanza del notebook, tale chiamata passa anche attraverso l'endpoint VPC di interfaccia. Per informazioni, consulta [Connettiti all' SageMaker IA all'interno del tuo VPC](interface-vpc-endpoint.md).
È possibile creare un endpoint di interfaccia per connettersi all'istanza del notebook con i Console di gestione AWS comandi or (). AWS Command Line Interface AWS CLI Per le istruzioni, consulta [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint). Assicurati di creare un endpoint di interfaccia per tutte le sottoreti nel VPC da cui desideri eseguire la connessione all'istanza del notebook.
**Quando crei l'endpoint dell'interfaccia, specifica aws.sagemaker. *Region*.notebook come nome del servizio.** Dopo aver creato un endpoint VPC, abilita il DNS privato per il tuo endpoint VPC. Chiunque utilizzi l' SageMaker API AWS CLI, la o la console per connettersi all'istanza del notebook dall'interno del VPC si connette all'istanza del notebook tramite l'endpoint VPC anziché la rete Internet pubblica.
SageMaker [le istanze notebook supportano gli endpoint VPC Regioni AWS ovunque siano disponibili sia [Amazon SageMaker VPC](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) che AI.](https://docs.aws.amazon.com/general/latest/gr/rande.html#sagemaker_region)
**Topics**
+ [Connessione della rete privata al VPC](#notebook-private-link-vpn-nbi)
+ [Crea una policy sugli endpoint VPC per SageMaker le istanze AI Notebook](#nbi-private-link-policy)
+ [Limitazione dell'accesso alle connessioni dal VPC](#notebook-private-link-restrict)
## Connessione della rete privata al VPC
Per connetterti all'istanza del tuo notebook tramite il tuo VPC, devi connetterti da un'istanza che si trova all'interno del VPC o connettere la tua rete privata al tuo VPC usando un () o. AWS Virtual Private Network Site-to-Site VPN Direct Connect Per informazioni su Site-to-Site VPN, consulta [Connessioni VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) nella *Guida per l'utente di Amazon Virtual Private Cloud*. Per informazioni su AWS Direct Connect, vedere [Creazione di una connessione](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) nella *Guida per l'utente di AWS Direct Connect*.
## Crea una policy sugli endpoint VPC per SageMaker le istanze AI Notebook
Puoi creare una policy per gli endpoint Amazon VPC per le istanze di SageMaker notebook per specificare quanto segue:
+ Il principale che può eseguire azioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire operazioni.
Per ulteriori informazioni, consultare [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) nella *Guida per l'utente di Amazon VPC*.
L'esempio seguente di una policy di endpoint VPC specifica che tutti gli utenti che hanno accesso all'endpoint possono accedere all'istanza del notebook denominata `myNotebookInstance`.
```
{
"Statement": [
{
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance",
"Principal": "*"
}
]
}
```
L'accesso ad altre istanze del notebook è rifiutato.
## Limitazione dell'accesso alle connessioni dal VPC
Anche se configuri un endpoint di interfaccia nel VPC, gli utenti esterni al VPC possono connettersi all'istanza del notebook su Internet.
**Importante**
Se applichi una policy IAM simile a una delle seguenti, gli utenti non possono accedere all'istanza specificata SageMaker APIs o all'istanza del notebook tramite la console.
Per limitare l'accesso alle sole connessioni effettuate dall'interno del VPC, crea una policy AWS Identity and Access Management che limita l'accesso alle sole chiamate provenienti dall'interno del VPC. Quindi aggiungi quella policy a ogni AWS Identity and Access Management utente, gruppo o ruolo utilizzato per accedere all'istanza del notebook.
**Nota**
Questa policy consente connessioni solo ai chiamanti all'interno di una sottorete in cui è stato creato un endpoint di interfaccia.
------
#### [ JSON ]
****
```
{
"Id": "notebook-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableNotebookAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:DescribeNotebookInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
Se desideri limitare l'accesso all'istanza del notebook alle sole connessioni effettuate utilizzando l'endpoint di interfaccia, utilizza la chiave di condizione `aws:SourceVpce` anziché `aws:SourceVpc:`.
------
#### [ JSON ]
****
```
{
"Id": "notebook-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableNotebookAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:DescribeNotebookInstance"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
Entrambi questi esempi di policy presuppongono che sia stato creato anche un endpoint di interfaccia per l' SageMaker API. Per ulteriori informazioni, consulta [Connettiti all' SageMaker IA all'interno del tuo VPC](interface-vpc-endpoint.md). Nel secondo esempio, uno dei valori per `aws:SourceVpce` è l'ID dell'endpoint di interfaccia per l'istanza del notebook. L'altro è l'ID dell'endpoint dell'interfaccia per l' SageMaker API.
Gli esempi di policy includono [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html), perché in genere devi chiamare `DescribeNotebookInstance` per assicurarsi che `NotebookInstanceStatus` sia `InService` prima di provare a connetterti a esso. Esempio:
```
aws sagemaker describe-notebook-instance \
--notebook-instance-name myNotebookInstance
{
"NotebookInstanceArn":
"arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance",
"NotebookInstanceName": "myNotebookInstance",
"NotebookInstanceStatus": "InService",
"Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws",
"InstanceType": "ml.m4.xlarge",
"RoleArn":
"arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456",
"LastModifiedTime": 1540334777.501,
"CreationTime": 1523050674.078,
"DirectInternetAccess": "Disabled"
}
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance
{
"AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=AuthToken
}
```
**Nota**
`presigned-notebook-instance-url`, `AuthorizedUrl`, generato può essere utilizzato da qualsiasi punto di Internet.
Per entrambe queste chiamate, se non hai abilitato i nomi host DNS privati per il tuo endpoint VPC o se stai utilizzando una versione dell' AWS SDK rilasciata prima del 13 agosto 2018, devi specificare l'URL dell'endpoint nella chiamata. Ad esempio, la chiamata a `create-presigned-notebook-instance-url` è:
```
aws sagemaker create-presigned-notebook-instance-url
--notebook-instance-name myNotebookInstance --endpoint-url
VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
```
## Connessione della rete privata al VPC
Per chiamare l' SageMaker API e SageMaker AI Runtime tramite il tuo VPC, devi connetterti da un'istanza che si trova all'interno del VPC o connettere la tua rete privata al tuo VPC utilizzando un () o. AWS Virtual Private Network Site-to-Site VPN Direct Connect Per informazioni su Site-to-Site VPN, consulta [Connessioni VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) nella *Guida per l'utente di Amazon Virtual Private Cloud*. Per informazioni su AWS Direct Connect, vedere [Creazione di una connessione](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) nella *Guida per l'utente di AWS Direct Connect*.