Amazon SageMaker Canvas in einer VPC ohne Internetzugang konfigurieren - Amazon SageMaker AI
Amazon SageMaker Canvas in einer VPC ohne Internetzugang konfigurieren

Amazon SageMaker Canvas in einer VPC ohne Internetzugang konfigurieren

Die Amazon SageMaker Canvas-Anwendung wird in einem Container in einer AWS verwalteten Amazon Virtual Private Cloud (VPC) ausgeführt. Wenn Sie den Zugriff auf Ihre Ressourcen weiter kontrollieren oder SageMaker Canvas ohne öffentlichen Internetzugang ausführen möchten, können Sie Ihre Domain- und VPC-Einstellungen von Amazon SageMaker AI konfigurieren. In Ihrer eigenen VPC können Sie Einstellungen wie Sicherheitsgruppen (virtuelle Firewalls, die den ein- und ausgehenden Datenverkehr von Amazon-EC2-Instances kontrollieren) und Subnetze (Bereiche von IP-Adressen in Ihrer VPC) konfigurieren. Weitere Informationen zu VPCs finden Sie unter So funktioniert Amazon VPC.

Wenn die SageMaker Canvas-Anwendung in der AWS verwalteten VPC ausgeführt wird, kann sie entweder über eine Internetverbindung oder über VPC-Endpunkte, die in einer vom Kunden verwalteten VPC (ohne öffentlichen Internetzugang) erstellt wurden, mit anderen AWS Services interagieren. SageMaker-Canvas-Anwendungen können über eine von Studio Classic erstellte Netzwerkschnittstelle, die Konnektivität zur vom Kunden verwalteten VPC bereitstellt, auf diese VPC-Endpunkte zugreifen. Das Standardverhalten der SageMaker Canvas-Anwendung besteht darin, Internetzugang zu haben. Wenn Sie eine Internetverbindung verwenden, greifen die Container für die vorherigen Jobs über das Internet auf AWS Ressourcen zu, z. B. die Amazon-S3-Buckets, in denen Sie Trainingsdaten und Modellartefakte speichern.

Wenn Sie jedoch Sicherheitsanforderungen haben, um den Zugriff auf Ihre Daten und Job-Container zu kontrollieren, empfehlen wir Ihnen, SageMaker Canvas und Ihre VPC so zu konfigurieren, dass Ihre Daten und Container nicht über das Internet zugänglich sind. SageMaker AI verwendet die VPC-Konfigurationseinstellungen, die Sie bei der Einrichtung Ihrer Domain für SageMaker Canvas angeben.

Wenn Sie Ihre SageMaker-Canvas-Anwendung ohne Internetzugang konfigurieren möchten, müssen Sie Ihre VPC-Einstellungen konfigurieren, wenn Sie sich bei Domain von Amazon SageMaker AI anmelden, VPC-Endpunkte einrichten und die erforderlichen AWS Identity and Access Management-Berechtigungen erteilen. Informationen zum Konfigurieren einer VPC in Amazon SageMaker AI finden Sie unter Auswählen einer Amazon VPC. In den folgenden Abschnitten wird beschrieben, wie Sie SageMaker Canvas in einer VPC ohne öffentlichen Internetzugang ausführen.

Amazon SageMaker Canvas in einer VPC ohne Internetzugang konfigurieren

Sie können Traffic von SageMaker Canvas über Ihre eigene VPC an andere AWS Services senden. Wenn Ihre eigene VPC keinen öffentlichen Internetzugang hat und Sie Ihre Domain im Modus Nur VPC eingerichtet haben, hat SageMaker Canvas auch keinen öffentlichen Internetzugang. Dazu gehören alle Anfragen, z. B. der Zugriff auf Datensätze in Amazon S3 oder Trainingsjobs für Standard-Builds, und die Anfragen werden über VPC-Endpunkte in Ihrer VPC statt über das öffentliche Internet abgewickelt. Wenn Sie ein Onboarding zur Domain und zu Auswählen einer Amazon VPC durchführen, können Sie Ihre eigene VPC als Standard-VPC für die Domain festlegen, zusammen mit Ihren gewünschten Sicherheitsgruppen- und Subnetzeinstellungen. Anschließend erstellt SageMaker AI eine Netzwerkschnittstelle in Ihrer VPC, die SageMaker Canvas für den Zugriff auf VPC-Endpunkte in Ihrer VPC verwendet.

Stellen Sie sicher, dass Sie eine oder mehrere Sicherheitsgruppen in Ihrer VPC mit Regeln für eingehenden und ausgehenden Datenverkehr einrichten, die TCP-Datenverkehr innerhalb der Sicherheitsgruppe zulassen. Dies ist für die Verbindung zwischen der Jupyter-Server-Anwendung und den Kernel-Gateway-Anwendungen erforderlich. Sie müssen den Zugriff auf mindestens Ports im Bereich 8192-65535 zulassen. Erstellen Sie für jedes Benutzerprofil auch eine eigene Sicherheitsgruppe und fügen Sie eingehenden Zugriff aus derselben Sicherheitsgruppe hinzu. Es wird nicht empfohlen, eine Sicherheitsgruppe auf Domainebene für Benutzerprofile wiederzuverwenden. Wenn die Sicherheitsgruppe auf Domainebene eingehenden Zugriff auf sich selbst zulässt, haben alle Anwendungen in der Domain Zugriff auf alle anderen Anwendungen in der Domain. Beachten Sie, dass die Sicherheitsgruppen- und Subnetzeinstellungen festgelegt werden, nachdem Sie das Onboarding in Domain abgeschlossen haben.

Wenn Sie beim Onboarding bei Domain nur öffentliches Internet als Netzwerkzugriffstyp wählen, wird die VPC von SageMaker AI verwaltet und ermöglicht den Internetzugang.

Sie können dieses Verhalten ändern, indem Sie Nur VPC auswählen, sodass SageMaker AI den gesamten Datenverkehr an eine Netzwerkschnittstelle sendet, die SageMaker AI in Ihrer angegebenen VPC erstellt. Wenn Sie diese Option wählen, müssen Sie die Subnetze, Sicherheitsgruppen und VPC-Endpunkte angeben, die für die Kommunikation mit der SageMaker-AI-API und der SageMaker-AI-Laufzeit sowie verschiedenen AWS-Services wie Amazon S3 und Amazon CloudWatch erforderlich sind, die von SageMaker Canvas verwendet werden. Beachten Sie, dass Sie nur Daten aus Amazon-S3-Buckets importieren können, die sich in derselben Region wie Ihre VPC befinden.

Die folgenden Verfahren zeigen, wie Sie diese Einstellungen für die Verwendung von SageMaker Canvas ohne Internet konfigurieren können.

Schritt 1: Onboarding bei einer Domain von Amazon SageMaker AI

Um SageMaker-Canvas-Verkehr an eine Netzwerkschnittstelle in Ihrer eigenen VPC statt über das Internet zu senden, geben Sie die VPC an, die Sie beim Onboarding bei Domain von Amazon SageMaker AI verwenden möchten. Sie müssen außerdem mindestens zwei Subnetze in Ihrer VPC angeben, die SageMaker AI verwenden kann. Wählen Sie Standardeinrichtung aus und gehen Sie wie folgt vor, wenn Sie den Netzwerk- und Speicherbereich für die Domain konfigurieren.

  1. Wählen Sie Ihre gewünschte VPC aus.

  2. Wählen Sie zwei oder mehr Subnetze aus. Wenn Sie die Subnetze nicht angeben, verwendet SageMaker AI alle Subnetze in der VPC.

  3. Wählen Sie eine oder mehrere Sicherheitsgruppe(n).

  4. Wählen Sie Nur VPC, um den direkten Internetzugang in der AWS verwalteten VPC zu deaktivieren, in der SageMaker Canvas gehostet wird.

Nachdem Sie den Internetzugang deaktiviert haben, schließen Sie den Onboarding-Prozess ab, um Ihre Domain einzurichten. Weitere Informationen über die VPC-Einstellungen für die Domain von Amazon SageMaker AI finden Sie unter Auswählen einer Amazon VPC.

Schritt 2: Konfigurieren der VPC-Endpunkte und des Zugriffs

Anmerkung

Um Canvas in Ihrer eigenen VPC zu konfigurieren, müssen Sie private DNS-Hostnamen für Ihre VPC-Endpunkte aktivieren. Weitere Informationen finden Sie unter Verbindung zu SageMaker AI über einen VPC-Schnittstellenendpunkt herstellen.

SageMaker Canvas greift nur auf andere AWS Services zu, um Daten für seine Funktionalität zu verwalten und zu speichern. Es stellt beispielsweise eine Verbindung zu Amazon Redshift her, wenn Ihre Benutzer auf eine Amazon Redshift-Datenbank zugreifen. Es kann über eine Internetverbindung oder einen VPC-Endpunkt eine Verbindung zu einem AWS Service wie Amazon Redshift herstellen. Verwenden Sie VPC-Endpunkte, wenn Sie Verbindungen von Ihrer VPC zu AWS Services einrichten möchten, die das öffentliche Internet nicht nutzen.

Ein VPC-Endpunkt stellt eine private Verbindung zu einem AWS Service her, der einen vom öffentlichen Internet isolierten Netzwerkpfad verwendet. Wenn Sie beispielsweise den Zugriff auf Amazon S3 mithilfe eines VPC-Endpunkts von Ihrer eigenen VPC aus einrichten, kann die SageMaker Canvas-Anwendung über die Netzwerkschnittstelle in Ihrer VPC und dann über den VPC-Endpunkt, der eine Verbindung zu Amazon S3 herstellt, auf Amazon S3 zugreifen. Die Kommunikation zwischen SageMaker Canvas und Amazon S3 ist privat.

Weitere Informationen zur Konfiguration von VPC-Endpunkten für Ihre VPC finden Sie unter AWS PrivateLink. Wenn Sie Amazon Bedrock-Modelle in Canvas mit einer VPC verwenden, finden Sie weitere Informationen zur Steuerung des Zugriffs auf Ihre Daten unter Schützen von Aufträgen mithilfe einer VPC im Amazon Bedrock-Benutzerhandbuch.

Im Folgenden sind die VPC-Endpunkte für jeden Service aufgeführt, den Sie mit SageMaker Canvas verwenden können:

Service Endpunkt Endpunkttyp

AWS Application Auto Scaling

com.amazonaws.Region.application-autoscaling

Schnittstelle

Amazon Athena

com.amazonaws.Region.athena

Schnittstelle

Amazon SageMaker AI

com.amazonaws.Region.sagemaker.api

com.amazonaws.Region.sagemaker.runtime

com.amazonaws.Region.notebook

Schnittstelle

Amazon SageMaker AI – Assistent für Datenwissenschaft

com.amazonaws.Region.sagemaker-data-science-assistant

Schnittstelle

AWS Security Token Service

com.amazonaws.Region.sts

Schnittstelle

Amazon Elastic Container Registry (Amazon ECR)

com.amazonaws.Region.ecr.api

com.amazonaws.Region.ecr.dkr

Schnittstelle

Amazon Elastic Compute Cloud (Amazon EC2)

com.amazonaws.Region.ec2

Schnittstelle

Amazon Simple Storage Service (Amazon-S3)

com.amazonaws.Region.s3

Gateway

Amazon Redshift

com.amazonaws.Region.redshift-data

Schnittstelle

AWS Secrets Manager

com.amazonaws.Region.secretsmanager

Schnittstelle

AWS Systems Manager

com.amazonaws.Region.ssm

Schnittstelle

Amazon CloudWatch

com.amazonaws.Region.monitoring

Schnittstelle

Amazon CloudWatch Logs

com.amazonaws.Region.logs

Schnittstelle

Amazon Forecast

com.amazonaws.Region.forecast

com.amazonaws.Region.forecastquery

Schnittstelle

Amazon Textract

com.amazonaws.Region.textract

Schnittstelle

Amazon Comprehend

com.amazonaws.Region.comprehend

Schnittstelle

Amazon Rekognition

com.amazonaws.Region.rekognition

Schnittstelle

AWS Glue

com.amazonaws.Region.glue

Schnittstelle

AWS Application Auto Scaling

com.amazonaws.Region.application-autoscaling

Schnittstelle

Amazon Relational Database Service (Amazon RDS)

com.amazonaws.Region.rds

Schnittstelle

Amazon Bedrock (siehe Hinweis nach der Tabelle)

com.amazonaws.Region.bedrock-runtime

Schnittstelle

Amazon Kendra

com.amazonaws.Region.kendra

Schnittstelle

Amazon EMR Serverless

com.amazonaws.Region.emr-serverless

Schnittstelle

Amazon Q Developer (siehe Hinweis nach der Tabelle)

com.amazonaws.Region.q

Schnittstelle
Anmerkung

Der VPC-Endpunkt Amazon Q Developer ist derzeit nur in der Region USA Ost (Nord-Virginia) verfügbar. Um von anderen Regionen aus eine Verbindung herzustellen, können Sie je nach Ihren Sicherheits- und Infrastruktureinstellungen eine der folgenden Optionen wählen:

  • Richten Sie ein NAT-Gateway ein. Konfigurieren Sie ein NAT-Gateway im privaten Subnetz Ihrer VPC, um die Internetverbindung für den Q-Developer-Endpunkt zu aktivieren. Weitere Informationen finden Sie unter Einrichten eines NAT-Gateways in einem privaten VPC-Subnetz.

  • Aktivieren Sie den regionsübergreifenden VPC-Endpunktzugriff. Richten Sie den regionsübergreifenden VPC-Endpunktzugriff für Q Developer ein. Verwenden Sie diese Option, um eine sichere Verbindung herzustellen, ohne dass ein Internetzugang erforderlich ist. Weitere Informationen finden Sie unter Konfigurieren des regionsübergreifenden VPC-Endpunktzugriffs.

Anmerkung

Für Amazon Bedrock ist der Name com.amazonaws.Region.bedrock des Schnittstellenendpunkts Service veraltet. Erstellen Sie einen neuen VPC-Endpunkt mit dem in der vorherigen Tabelle aufgeführten Service-Namen.

Darüber hinaus können Sie Grundlagenmodelle von Canvas-VPCs ohne Internetzugang nicht optimieren. Dies liegt daran, dass Amazon Bedrock keine VPC-Endpunkte für APIs zur Modellanpassung unterstützt. Weitere Informationen zur Feinabstimmung eines Grundlagenmodells in Canvas finden Sie unter Optimieren von Grundlagenmodellen.

Sie müssen außerdem die Endpunktrichtlinie für Amazon S3 hinzufügen, um den AWS-Prinzipalzugriff auf Ihren VPC-Endpunkt zu kontrollieren. Informationen zur Aktualisierung Ihrer VPC-Endpunktrichtlinie finden Sie unter Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien.

Im Folgenden sind zwei VPC-Endpunktrichtlinien aufgeführt, die Sie verwenden können. Verwenden Sie die erste Richtlinie, wenn Sie nur Zugriff auf die Grundfunktionen von Canvas gewähren möchten, wie beispielsweise das Importieren von Daten und das Erstellen von Modellen. Verwenden Sie die zweite Richtlinie, wenn Sie Zugriff auf die zusätzlichen Features der generativen KI in Canvas gewähren möchten.

Basic VPC endpoint policy

Die folgende Richtlinie gewährt den erforderlichen Zugriff auf Ihren VPC-Endpunkt für grundlegende Vorgänge in Canvas.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }
Generative AI VPC endpoint policy

Die folgende Richtlinie gewährt den erforderlichen Zugriff auf Ihren VPC-Endpunkt für grundlegende Vorgänge in Canvas sowie für die Verwendung von Grundlagenmodellen der generativen KI.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*",
                "arn:aws:s3:::*fmeval/datasets*",
                "arn:aws:s3:::*jumpstart-cache-prod*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }

Schritt 3: Erteilen von IAM-Berechtigungen

Der SageMaker Canvas-Benutzer muss über die erforderlichen AWS Identity and Access Management Berechtigungen verfügen, um eine Verbindung zu den VPC-Endpunkten herzustellen. Die IAM-Rolle, der Sie Berechtigungen erteilen, muss dieselbe sein, die Sie beim Onboarding bei der Domain von Amazon SageMaker AI verwendet haben. Sie können die von SageMaker AI verwaltete AmazonSageMakerFullAccess-Richtlinie an die IAM-Rolle anfügen, damit der Benutzer dem Benutzer die erforderlichen Berechtigungen erteilt. Wenn Sie restriktivere IAM-Berechtigungen benötigen und stattdessen benutzerdefinierte Richtlinien verwenden, geben Sie der Rolle des Benutzers die entsprechende ec2:DescribeVpcEndpointServices Berechtigung. SageMaker Canvas benötigt diese Berechtigungen, um das Vorhandensein der erforderlichen VPC-Endpunkte für Standard-Build-Jobs zu überprüfen. Wenn es diese VPC-Endpunkte erkennt, werden Standard-Build-Jobs standardmäßig in Ihrer VPC ausgeführt. Andernfalls werden sie in der standardmäßigen AWS verwalteten VPC ausgeführt.

Anweisungen zum Anhängen der AmazonSageMakerFullAccess IAM-Richtlinie an die IAM-Rolle Ihres Benutzers finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.

Gehen Sie wie folgt vor, um der IAM-Rolle Ihres Benutzers das granulare ec2:DescribeVpcEndpointServices Zugriffsrecht zu erteilen.

  1. Melden Sie sich bei AWS-Managementkonsole an und öffnen Sie die IAM-Konsole.

  2. Wählen Sie im Navigationsbereich Rollen.

  3. Wählen Sie in der Liste den Namen der Rolle, der Sie Berechtigungen erteilen möchten.

  4. Wählen Sie die Registerkarte Berechtigungen.

  5. Wählen Sie Add permissions (Berechtigungen hinzufügen) und dann Create inline policy (Inline-Richtlinie erstellen) aus.

  6. Wählen Sie die Registerkarte JSON und geben Sie die folgende Richtlinie ein, die die ec2:DescribeVpcEndpointServices Berechtigung erteilt:

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "ec2:DescribeVpcEndpointServices",
            "Resource": "*"
        }
    ]
}

  7. Wählen Sie Überprüfungsrichtlinie, und geben Sie einen Namen für die Richtlinie ein (z. B. VPCEndpointPermissions).

  8. Wählen Sie Richtlinie erstellen aus.

Die IAM-Rolle des Benutzers sollte jetzt über Berechtigungen für den Zugriff auf die in Ihrer VPC konfigurierten VPC-Endpoints verfügen.

(Optional) Schritt 4: Überschreiben der Sicherheitsgruppeneinstellungen für bestimmte Benutzer

Wenn Sie ein Administrator sind, möchten Sie möglicherweise, dass verschiedene Benutzer unterschiedliche VPC-Einstellungen oder benutzerspezifische VPC-Einstellungen haben. Wenn Sie die standardmäßigen Sicherheitsgruppeneinstellungen der VPC für einen bestimmten Benutzer überschreiben, werden diese Einstellungen an die SageMaker Canvas-Anwendung für diesen Benutzer weitergegeben.

Sie können die Sicherheitsgruppen überschreiben, auf die ein bestimmter Benutzer in Ihrer VPC Zugriff hat, wenn Sie ein neues Benutzerprofil in Studio Classic einrichten. Sie können den SageMaker-API-Aufruf CreateUserProfile verwenden (oder create_user_profile mit dem AWS CLI), und dann in der UserSettings die SecurityGroups für den Benutzer angeben.