Configuration de l’accès réseau entre Studio et les sources de données (pour les administrateurs)

Cette section fournit des informations sur la manière dont les administrateurs peuvent configurer un réseau pour permettre la communication entre Amazon SageMaker Studio et Amazon Redshift ou Amazon Athena, que ce soit au sein d’un réseau Amazon VPC privé ou via Internet. Les instructions de mise en réseau varient si le domaine Studio et le magasin de données sont déployés au sein d’un cloud privé virtuel (VPC) Amazon privé ou s’ils communiquent via Internet.

Par défaut, Studio s’exécute dans un VPC géré par AWS avec un accès Internet. Lorsque vous utilisez une connexion Internet, Studio accède à des ressources AWS, telles que les compartiments Amazon S3, via Internet. Toutefois, si vous avez des exigences de sécurité pour contrôler l’accès à vos données et à vos conteneurs de tâches, nous vous recommandons de configurer Studio et votre magasin de données (Amazon Redshift ou Athena) de manière à ce que vos données et vos conteneurs ne soient pas accessibles via Internet. Pour contrôler l’accès à vos ressources ou exécuter Studio sans accès Internet public, vous pouvez spécifier le type d’accès au réseau VPC only lorsque vous intégrez le domaine Amazon SageMaker AI. Dans ce scénario, Studio établit des connexions avec d’autres services AWS via des points de terminaison de VPC privés. Pour en savoir plus sur la configuration de Studio en mode VPC only, consultez Connexion de Studio à des ressources externes dans un VPC.

Les deux premières sections expliquent comment garantir la communication entre votre domaine Studio et votre magasin de données dans des VPC sans accès public à Internet. La dernière section explique comment garantir la communication entre Studio et votre magasin de données à l’aide d’une connexion Internet. Avant de connecter Studio et votre magasin de données sans accès à Internet, veillez à établir des points de terminaison pour Amazon Simple Storage Service, Amazon Redshift ou Athena, SageMaker AI et pour Amazon CloudWatch et AWS CloudTrail (journalisation et surveillance).

Studio et le magasin de données sont déployés dans des VPC différents

Pour autoriser la communication entre Studio et un magasin de données déployé dans différents VPC :

Les étapes de configuration sont les mêmes, que Studio et le magasin de données soient déployés dans un compte AWS individuel ou dans différents comptes AWS.

Studio et le magasin de données sont déployés dans le même VPC

Si Studio et le magasin de données se trouvent dans des sous-réseaux privés différents du même VPC, ajoutez des routes dans la table de routage de chaque sous-réseau privé. Ces routes doivent permettre au trafic de circuler entre les sous-réseaux Studio et les sous-réseaux du magasin de données. Vous pouvez définir ces routes en accédant à la section Tables de routage de chaque VPC dans le tableau de bord du VPC. Si vous avez déployé Studio et le magasin de données dans le même VPC et le même sous-réseau, vous n’avez pas besoin de router le trafic.

Indépendamment des mises à jour des tables de routage, le groupe de sécurité du VPC du domaine Studio doit autoriser le trafic sortant, et le groupe de sécurité du VPC du magasin de données doit autoriser le trafic entrant sur son port en provenance du groupe de sécurité du VPC de Studio.

Studio et le magasin de données communiquent via le réseau Internet public

Par défaut, Studio fournit une interface réseau qui permet de communiquer avec Internet via une passerelle Internet dans le VPC associé au domaine Studio. Si vous choisissez de vous connecter à votre magasin de données via le réseau Internet public, votre magasin de données doit accepter le trafic entrant sur son port.

Une passerelle NAT doit également être utilisée pour permettre aux instances figurant dans les sous-réseaux privés de plusieurs VPC de partager une seule adresse IP publique fournie par la passerelle Internet lors de l’accès à Internet.