Configurer Amazon SageMaker Canvas dans un VPC sans accès Internet

L’application Amazon SageMaker Canvas s’exécute dans un conteneur dans un Cloud privé virtuel (VPC) Amazon AWS. Si vous souhaitez contrôler davantage l’accès à vos ressources ou exécuter SageMaker Canvas sans accès public à Internet, vous pouvez configurer vos paramètres de domaine et de VPC Amazon SageMaker AI. Au sein de votre propre VPC, vous pouvez configurer des paramètres tels que des groupes de sécurité (pare-feu virtuels qui contrôlent le trafic entrant et sortant des instances Amazon EC2) et des sous-réseaux (plages d’adresses IP dans votre VPC). Pour en savoir plus sur les VPC, consultez Fonctionnement d'Amazon VPC.

Lorsque l’application SageMaker Canvas est en cours d’exécution dans le VPC géré AWS, il peut interagir avec d’autres services AWS utilisant une connexion Internet ou via des points de terminaison de VPC créés dans un VPC géré par le client (sans accès Internet public). Les applications SageMaker Canvas peuvent accéder à ces points de terminaison de VPC via une interface réseau créée par Studio Classic qui fournit une connectivité au VPC géré par le client. Le comportement par défaut de l’application SageMaker Canvas est d’avoir accès à Internet. Lorsque vous utilisez une connexion Internet, les conteneurs des tâches précédentes accèdent aux ressources AWS via Internet, telles que les compartiments Amazon S3 où vous stockez les données d'entraînement et les artefacts de modèle.

Toutefois, si vous devez utiliser des exigences de sécurité pour contrôler l’accès à vos données et à vos conteneurs de tâches, nous vous recommandons de configurer SageMaker Canvas et votre VPC afin que vos données et vos conteneurs ne soient pas accessibles via Internet. SageMaker AI utilise les paramètres de configuration de VPC que vous spécifiez lors de la configuration de votre domaine pour SageMaker Canvas.

Si vous souhaitez configurer votre application SageMaker Canvas sans accès à Internet, vous devez configurer vos paramètres VPC lorsque vous intégrez le domaine Amazon SageMaker AI, configurez les points de terminaison de VPC et accordez les autorisations Gestion des identités et des accès AWS requises. Pour en savoir plus sur la configuration d’un VPC dans Amazon SageMaker AI, consultez Choix d’un réseau Amazon VPC. Les sections suivantes expliquent comment exécuter SageMaker Canvas dans un VPC sans accès public à Internet.

Configurer Amazon SageMaker Canvas dans un VPC sans accès Internet

Vous pouvez envoyer du trafic depuis SageMaker Canvas vers d'autres services AWS via votre propre VPC. Si votre propre VPC ne dispose pas d’un accès public à Internet et que vous avez configuré votre domaine en mode VPC uniquement, SageMaker Canvas n’aura pas non plus d’accès public à Internet. Cela inclut toutes les demandes, telles que l'accès aux jeux de données dans Amazon S3 ou les tâches d'entraînement pour les versions standard, et les demandes passent par les points de terminaison d'un VPC dans votre VPC au lieu de l'Internet public. Lorsque vous intégrez le domaine et Choix d’un réseau Amazon VPC, vous pouvez spécifier votre propre VPC comme VPC par défaut du domaine, ainsi que les paramètres de groupe de sécurité et de sous-réseau souhaités. SageMaker AI crée ensuite une interface réseau dans votre VPC, que SageMaker Canvas utilise pour accéder aux points de terminaison de VPC dans votre VPC.

Assurez-vous de configurer un ou plusieurs groupes de sécurité dans votre VPC avec des règles entrantes et sortantes qui autorisent le trafic TCP au sein du groupe de sécurité. Cela est nécessaire pour la connectivité entre l’application Jupyter Server et les applications Kernel Gateway. Vous devez autoriser l’accès à au moins des ports situés dans la plage 8192-65535. De plus, veillez à créer un groupe de sécurité distinct pour chaque profil utilisateur et à ajouter un accès entrant à partir de ce même groupe de sécurité. Nous déconseillons de réutiliser un groupe de sécurité au niveau du domaine pour les profils utilisateur. Si le groupe de sécurité au niveau du domaine autorise l’accès entrant à lui-même, toutes les applications figurant dans le domaine auront accès à toutes les autres applications du domaine. Notez que les paramètres du groupe de sécurité et du sous-réseau sont définis une fois que vous avez terminé l’intégration au domaine.

Lors de l’intégration au domaine, si vous choisissez Internet public uniquement comme type d’accès réseau, le VPC est géré par SageMaker AI et autorise l’accès à Internet.

Vous pouvez modifier ce comportement en choisissant VPC uniquement afin que SageMaker AI envoie tout le trafic vers une interface réseau que SageMaker AI crée dans votre VPC spécifié. Lorsque vous choisissez cette option, vous devez fournir les sous-réseaux, les groupes de sécurité et les points de terminaison de VPC nécessaires pour communiquer avec l’API SageMaker et l’environnement d’exécution SageMaker AI, ainsi que divers services AWS, comme Amazon S3 et Amazon CloudWatch, qui sont utilisés par SageMaker Canvas. Notez que vous ne pouvez importer des données qu’à partir de compartiments Amazon S3 situés dans la même région que votre VPC.

Les procédures ci-dessous montrent comment vous pouvez configurer ces paramètres afin d’utiliser SageMaker Canvas sans Internet.

Étape 1 : Intégration au domaine Amazon SageMaker AI

Pour envoyer le trafic SageMaker Canvas vers une interface réseau dans votre propre VPC plutôt que via Internet, spécifiez le VPC que vous souhaitez utiliser lors de l’intégration au domaine Amazon SageMaker AI. Vous devez également spécifier au moins deux sous-réseaux dans votre VPC que SageMaker AI pourra utiliser. Choisissez Configuration standard et effectuez la procédure suivante lors de la configuration de la Section réseau et stockage pour le domaine.

Sélectionnez votreVPC préféré.
Choisissez deux Subnets (Sous-réseaux) ou plus. Si vous ne spécifiez pas les sous-réseaux, SageMaker AI utilise tous les sous-réseaux du VPC.
Choisissez un ou plusieurs groupes de sécurité.
Choisissez VPC uniquement pour désactiver l'accès direct à Internet dans le VPC géré AWS où SageMaker Canvas est hébergé.

Après avoir désactivé l’accès à Internet, terminez le processus d’intégration pour configurer votre domaine. Pour plus d’informations sur les paramètres de VPC pour le domaine Amazon SageMaker AI, consultez Choix d’un réseau Amazon VPC.

Étape 2 : configurer les points de terminaison de VPC et l’accès

Note

Pour configurer Canvas dans votre propre VPC, vous devez activer les noms d’hôtes DNS privés pour vos points de terminaison de VPC. Pour plus d’informations, consultez Connexion à SageMaker AI via un point de terminaison d’interface VPC.

SageMaker Canvas n’accède à d’autres services AWS de gestion et de stockage des données que pour les fonctionnalités. Par exemple, il se connecte à Amazon Redshift si vos utilisateurs accèdent à une base de données Amazon Redshift. Il peut se connecter à un service AWS tel qu’Amazon Redshift utilisant une connexion Internet ou un point de terminaison d’un VPC. Utilisez les points de terminaison d'un VPC si vous souhaitez configurer des connexions entre votre VPC et les services AWS qui n'utilisent pas l'Internet public.

Utilisez un point de terminaison d'un VPC si vous souhaitez une connexion privée à un service AWS qui utilise un chemin réseau isolé de l'Internet public. Par exemple, si vous configurez l'accès à Amazon S3 à l'aide d'un point de terminaison d'un VPC à partir de votre propre VPC, l'application SageMaker Canvas peut alors accéder à Amazon S3 en passant par l'interface réseau de votre VPC, puis par le point de terminaison d'un VPC qui se connecte à Amazon S3. La communication entre SageMaker Canvas et Simple Storage Service (Amazon S3) est privée.

Pour plus d’informations sur la configuration des points de terminaison d’un VPC, consultez AWS PrivateLink. Si vous utilisez des modèles Amazon Bedrock dans Canvas avec un VPC, vous pouvez obtenir des informations sur le contrôle de l'accès à vos données en consultant Protection des tâches à l'aide d'un VPC dans le Guide de l'utilisateur Amazon Bedrock (langue française non garantie).

Voici les points de terminaison d’un VPC pour chaque service que vous pouvez utiliser avec SageMaker Canvas :

Service	Point de terminaison	Type de point de terminaison
AWS Application Auto Scaling	com.amazonaws.`Region`.application-autoscaling	Interface
Amazon Athena	com.amazonaws.`Région`.athena	Interface
Amazon SageMaker AI	com.amazonaws.`Région`.sagemaker.api com.amazonaws.`Région`.sagemaker.runtime com.amazonaws.`Région`.blocs-notes	Interface
Assistant de science des données d’Amazon SageMaker AI	com.amazonaws.`Region`.sagemaker-data-science-assistant	Interface
AWS Security Token Service	com.amazonaws.`Région`.sts	Interface
Amazon Elastic Container Registry (Amazon ECR)	com.amazonaws.`Région`.ecr.api com.amazonaws.`Région`.ecr.dkr	Interface
Amazon Elastic Compute Cloud (Amazon EC2)	com.amazonaws.`Région`.ec2	Interface
Amazon Simple Storage Service (Amazon S3)	com.amazonaws.`Région`.s3	Passerelle
Amazon Redshift	com.amazonaws.`Région`.redshift-data	Interface
AWS Secrets Manager	com.amazonaws.`Région`.secretsmanager	Interface
AWS Systems Manager	com.amazonaws.`Région`.ssm	Interface
Amazon CloudWatch	com.amazonaws.`Région`.monitoring	Interface
Amazon CloudWatch Logs	com.amazonaws.`Région`.logs	Interface
Amazon Forecast	com.amazonaws.`Region`.forecast com.amazonaws.`Region`.forecastquery	Interface
Amazon Textract	com.amazonaws.`Region`.textract	Interface
Amazon Comprehend	com.amazonaws.`Region`.comprehend	Interface
Amazon Rekognition	com.amazonaws.`Region`.rekognition	Interface
AWS Glue	com.amazonaws.`Region`.glue	Interface
AWS Application Auto Scaling	com.amazonaws.`Region`.application-autoscaling	Interface
Amazon Relational Database Service (Amazon RDS)	com.amazonaws.`Region`.rds	Interface
Amazon Bedrock (voir la note après le tableau)	com.amazonaws.`Region`.bedrock-runtime	Interface
Amazon Kendra	com.amazonaws.`Region`.kendra	Interface
Amazon EMR sans serveur	com.amazonaws.`Region`.emr-serverless	Interface
Amazon Q Developer (voir la note après le tableau)	com.amazonaws.`Region`.q	Interface

Note

Le point de terminaison de VPC Amazon Q Developer n’est actuellement disponible que dans la région USA Est (Virginie du Nord). Pour vous y connecter depuis d’autres régions, vous pouvez choisir l’une des options suivantes en fonction de vos préférences en matière de sécurité et d’infrastructure :

Configurer une passerelle NAT. Configurez une passerelle NAT dans le sous-réseau privé de votre VPC pour activer la connectivité Internet pour le point de terminaison Q Developer. Pour plus d’informations, consultez Configuration d’une passerelle NAT dans un sous-réseau privé de VPC.
Activer l’accès à des points de terminaison de VPC entre régions. Configurez l’accès aux points de terminaison de VPC entre régions pour Q Developer. Utilisez cette option pour vous connecter en toute sécurité sans avoir besoin d’un accès Internet. Pour plus d’informations, consultez Configuration de l’accès à des points de terminaison de VPC entre régions.

Note

Pour Amazon Bedrock, le nom du service de point de terminaison d’interface com.amazonaws.Region.bedrock est obsolète. Créez un point de terminaison de VPC avec le nom de service indiqué dans le tableau précédent.

De plus, vous ne pouvez pas optimiser les modèles de fondation à partir des VPC Canvas sans accès à Internet. Cela est dû au fait qu’Amazon Bedrock ne prend pas en charge les points de terminaison de VPC pour les API de personnalisation des modèles. Pour en savoir plus sur le peaufinage des modèles de fondation dans Canvas, consultez Peaufinage des modèles de fondation.

Vous devez également ajouter une politique de points de terminaison pour Amazon S3 afin de contrôler l’accès du principal AWS à votre point de terminaison de VPC. Pour obtenir des informations sur la mise à jour de votre politique de points de terminaison de VPC, consultez Contrôle de l’accès aux points de terminaison de VPC à l’aide de politiques de points de terminaison.

Voici deux politiques de points de terminaison de VPC que vous pouvez utiliser. Utilisez la première politique si vous souhaitez uniquement accorder l’accès aux fonctionnalités de base de Canvas, telles que l’importation de données et la création de modèles. Utilisez la seconde politique si vous souhaitez accorder l’accès aux fonctionnalités d’IA générative supplémentaires dans Canvas.

Basic VPC endpoint policy

La politique suivante accorde l’accès nécessaire à votre point de terminaison de VPC pour les opérations de base dans Canvas.


        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }

Generative AI VPC endpoint policy

La politique suivante accorde l’accès nécessaire à votre point de terminaison de VPC pour les opérations de base dans Canvas, ainsi que pour l’utilisation des modèles de fondation d’IA générative.


        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*",
                "arn:aws:s3:::*fmeval/datasets*",
                "arn:aws:s3:::*jumpstart-cache-prod*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }

Étape 3 : accorder des autorisations IAM

L’utilisateur de SageMaker Canvas doit disposer des autorisations Gestion des identités et des accès AWS pour activer la connexion aux points de terminaison de VPC. Le rôle IAM auquel vous accordez des autorisations doit être le même que celui que vous avez utilisé lors de votre intégration au domaine Amazon SageMaker AI. Vous pouvez attacher la politique AmazonSageMakerFullAccess gérée par SageMaker AI au rôle IAM pour que l’utilisateur accorde à l’utilisateur les autorisations requises. Si vous avez besoin d’autorisations IAM plus restrictives et que vous utilisez des politiques personnalisées à la place, attribuez au rôle de l’utilisateur l’autorisation ec2:DescribeVpcEndpointServices. SageMaker Canvas nécessite ces autorisations pour vérifier l'existence des points de terminaison VPC requis pour les tâches de construction standard. S'il détecte ces points de terminaison de VPC, les tâches de construction standard s'exécutent par défaut dans votre VPC. Dans le cas contraire, ils s'exécuteront par défaut dans le VPC géré AWS.

Pour obtenir des instructions sur la façon d'attacher la politique IAM AmazonSageMakerFullAccess pour le rôle IAM de votre utilisateur, consultez Ajout et suppression d'autorisations basées sur l'identité IAM.

Pour attribuer au rôle IAM de votre utilisateur une autorisation ec2:DescribeVpcEndpointServices, procédez comme suit :

Connectez-vous à AWS Management Console et ouvrez la console IAM.
Dans le panneau de navigation, choisissez Rôles.
Dans la liste de groupes, choisissez le nom du groupe ou de l'utilisateur auquel vous souhaitez ajouter des autorisations d'accès.
Sélectionnez l’onglet Autorisations.
Sélectionnez Ajouter des autorisations, puis Ajouter la politique.

Cliquez sur l'onglet JASON et saisissez la politique suivante, qui accorde à l'autorisation ec2:DescribeVpcEndpointServices :

Choisissez Révisez la politique, puis entrez un Nom pour la politique (par exemple, VPCEndpointPermissions).
Choisissez Créer une politique.

Le rôle IAM de l'utilisateur doit désormais disposer des autorisations nécessaires pour accéder aux points de terminaison d'un VPC configurés dans votre VPC.

(Facultatif) Étape 4 : remplacement des paramètres de groupe de sécurité pour des utilisateurs spécifiques

Si vous êtes administrateur, vous pouvez souhaiter que différents utilisateurs disposent de paramètres VPC différents ou spécifiques à l'utilisateur. Lorsque vous remplacez les paramètres de groupe de sécurité du VPC par défaut pour un utilisateur spécifique, ces paramètres sont transmis à l’application SageMaker Canvas pour cet utilisateur.

Vous pouvez remplacer les groupes de sécurité auxquels un utilisateur spécifique a accès dans votre VPC lorsque vous configurez un nouveau profil utilisateur dans Studio Classic. Vous pouvez utiliser l’appel d’API de SageMaker CreateUserProfile (ou créate_user_profile avec le AWS CLI), puis dans le UserSettings, vous pouvez spécifier le SecurityGroups pour l’utilisateur.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Relancement d’une application

Configuration de connexions aux sources de données avec OAuth