Configurazione di Amazon SageMaker Canvas in un VPC senza accesso a Internet - Amazon SageMaker AI
Configurazione di Amazon SageMaker Canvas in un VPC senza accesso a Internet

Configurazione di Amazon SageMaker Canvas in un VPC senza accesso a Internet

L'applicazione Amazon SageMaker Canvas viene eseguita in un container in AWS Cloud Privato Virtuale (VPC) gestito di Amazon. Se desideri impostare un ulteriore controllo degli accessi alle tue risorse o eseguire SageMaker Canvas senza accesso pubblico a Internet, puoi configurare il dominio Amazon SageMaker AI e le impostazioni VPC. All'interno del tuo VPC, puoi configurare impostazioni come gruppi di sicurezza (firewall virtuali che controllano il traffico in entrata e in uscita dalle istanze Amazon EC2) e sottoreti (intervalli di indirizzi IP nel tuo VPC). Per ulteriori informazioni sui VPC, consulta How Amazon VPC works.

Quando l'applicazione SageMaker Canvas è in esecuzione nel VPC gestito AWS, può interagire con altri servizi AWS utilizzando una connessione Internet o tramite endpoint VPC creati in un VPC gestito dal cliente (senza accesso pubblico a Internet). Le applicazioni SageMaker Canvas possono accedere a questi endpoint VPC tramite un’interfaccia di rete creata da Studio Classic, che fornisce connettività al VPC gestito dal cliente. Il comportamento predefinito dell'applicazione SageMaker Canvas prevede l'accesso a Internet. Quando si utilizza una connessione Internet, i container dei processi precedenti accedono a risorse AWS su Internet, come i bucket Amazon S3, in cui vengono archiviati i dati di addestramento e gli artefatti del modello.

Tuttavia, se hai requisiti di sicurezza per controllare l'accesso ai tuoi container di processi e dati, ti consigliamo di configurare SageMaker Canvas e il tuo VPC, in modo che dati e container non siano accessibili su Internet. SageMaker AI utilizza le impostazioni di configurazione del VPC specificate per SageMaker Canvas durante la configurazione del dominio.

Per configurare la tua applicazione SageMaker Canvas senza accesso a Internet, devi configurare le impostazioni VPC quando effettui l’onboarding nel dominio Amazon SageMaker AI, configurare gli endpoint VPC e concedere le autorizzazioni AWS Identity and Access Management necessarie. Per informazioni sulla configurazione di un VPC in Amazon SageMaker AI, consulta Scelta di un Amazon VPC. Le sezioni seguenti spiegano come eseguire SageMaker Canvas in un VPC senza accesso pubblico a Internet.

Configurazione di Amazon SageMaker Canvas in un VPC senza accesso a Internet

Puoi inviare traffico da SageMaker Canvas ad altri servizi AWS tramite il tuo VPC. Se il tuo VPC non dispone di accesso pubblico a Internet e hai configurato il tuo dominio in modalità Solo VPC, anche SageMaker Canvas non disporrà dell’accesso pubblico a Internet. Ciò include tutte le richieste, come l'accesso ai set di dati in Amazon S3 o i processi di addestramento per le build Standard, che quindi passano attraverso gli endpoint VPC nel tuo VPC anziché tramite la rete Internet pubblica. Quando effettui l’onboarding nel dominio e in Scelta di un Amazon VPC, puoi impostare il tuo VPC come predefinito per il dominio e puoi specificare le impostazioni desiderate per il gruppo di sicurezza e la sottorete. Quindi, SageMaker AI crea un’interfaccia di rete nel VPC che SageMaker Canvas utilizza per accedere agli endpoint VPC nel tuo VPC.

Assicurati di configurare uno o più gruppi di sicurezza nel VPC con regole in entrata e in uscita che consentano il traffico TCP all’interno del gruppo di sicurezza. Questa configurazione è richiesta per la connettività tra l’applicazione del server Jupyter e le applicazioni del gateway kernel. Devi consentire l'accesso ad almeno le porte dell'intervallo 8192-65535. Crea anche un gruppo di sicurezza distinto per ogni profilo utente e aggiungi l’accesso in entrata dallo stesso gruppo di sicurezza. Consigliamo di non riutilizzare un gruppo di sicurezza a livello di dominio per i profili utente. Se il gruppo di sicurezza a livello di dominio consente l’accesso in entrata a se stesso, tutte le applicazioni del dominio avranno accesso a tutte le altre applicazioni del dominio. Tieni presente che le impostazioni del gruppo di sicurezza e della sottorete vengono configurate dopo aver completato l’onboarding nel dominio.

Durante l’onboarding nel dominio, se scegli Solo Internet pubblico come tipo di accesso di rete, il VPC viene gestito da SageMaker AI e consente l’accesso a Internet.

Puoi modificare questo comportamento scegliendo Solo VPC in modo che SageMaker AI invii tutto il traffico a un’interfaccia di rete creata da SageMaker AI nel VPC specificato. Quando scegli questa opzione, devi fornire le sottoreti, i gruppi di sicurezza e gli endpoint VPC necessari per comunicare con l’API SageMaker, con il runtime di SageMaker AI e vari altri servizi AWS utilizzati da SageMaker Canvas, come Amazon S3 e Amazon CloudWatch. Tieni presente che puoi importare dati da bucket Amazon S3 solo se sono situati nella stessa Regione del tuo VPC.

Le seguenti procedure mostrano come configurare queste impostazioni per utilizzare SageMaker Canvas senza Internet.

Fase 1. Esegui l’onboarding nel dominio Amazon SageMaker AI

Per inviare il traffico di SageMaker Canvas a un’interfaccia di rete nel tuo VPC anziché su Internet, specifica il VPC da utilizzare per l’onboarding nel dominio Amazon SageMaker AI. Inoltre, devi specificare almeno due sottoreti nel tuo VPC che possono essere utilizzate da SageMaker AI. Scegli Configurazione standard ed esegui questa procedura per configurare la sezione Rete e archiviazione del dominio.

  1. Seleziona il VPC desiderato.

  2. Scegli due o più sottoreti. Se non specifichi le sottoreti, SageMaker AI utilizza tutte le sottoreti nel VPC.

  3. Scegli uno o più Gruppi di sicurezza.

  4. Scegli Solo VPC per disattivare l'accesso diretto a Internet nel VPC gestito AWS in cui è ospitato SageMaker Canvas.

Dopo aver disabilitato l’accesso a Internet, completa la procedura di onboarding per configurare il tuo dominio. Per ulteriori informazioni sulle impostazioni VPC per il dominio Amazon SageMaker AI, consulta Scelta di un Amazon VPC.

Fase 2: configurazione di endpoint VPC e accesso

Nota

Per configurare Canvas nel tuo VPC, devi abilitare i nomi host DNS privati per i tuoi endpoint VPC. Per ulteriori informazioni, consulta Connessione a SageMaker AI tramite un endpoint VPC di interfaccia.

SageMaker Canvas accede ad altri servizi AWS solo per gestire e archiviare i dati per le sue funzionalità. Ad esempio, si connette ad Amazon Redshift se gli utenti accedono a un database Amazon Redshift. Può connettersi a un servizio AWS come Amazon Redshift utilizzando una connessione Internet o un endpoint VPC. Usa gli endpoint VPC se desideri configurare connessioni dal tuo VPC a servizi AWS che non utilizzano la rete Internet pubblica.

Un endpoint VPC crea una connessione privata a un servizio AWS che utilizza un percorso di rete isolato dalla rete Internet pubblica. Ad esempio, se configuri l'accesso ad Amazon S3 utilizzando un endpoint VPC dal tuo VPC, l'applicazione SageMaker Canvas può accedere ad Amazon S3 tramite l'interfaccia di rete nel tuo VPC e poi tramite l'endpoint VPC che si connette ad Amazon S3. La comunicazione tra SageMaker Canvas e Amazon S3 è privata.

Per ulteriori informazioni sulla configurazione degli endpoint VPC per il tuo VPC, consulta AWS PrivateLink. Se utilizzi modelli Amazon Bedrock in Canvas con un VPC, per ulteriori informazioni sul controllo dell'accesso ai tuoi dati, consulta Protect jobs using a VPC in Guida per l’utente di Amazon Bedrock.

Di seguito sono riportati gli endpoint VPC per ogni servizio che è possibile utilizzare con SageMaker Canvas:

Servizio Endpoint Tipo di endpoint

AWS Application Auto Scaling

com.amazonaws.Regione.application-autoscaling

Interfaccia

Amazon Athena

com.amazonaws.Regione.athena

Interfaccia

Amazon SageMaker AI

com.amazonaws.Regione.sagemaker.api

com.amazonaws.Regione.sagemaker.runtime

com.amazonaws.Regione.notebook

Interfaccia

Amazon SageMaker AI Data Science Assistant

com.amazonaws.Region.sagemaker-data-science-assistant

Interfaccia

AWS Security Token Service

com.amazonaws.Regione.sts

Interfaccia

Amazon Elastic Container Registry (Amazon ECR)

com.amazonaws.Regione.ecr.api

com.amazonaws.Regione.ecr.dkr

Interfaccia

Amazon Elastic Compute Cloud (Amazon EC2)

com.amazonaws.Regione.ec2

Interfaccia

Amazon Simple Storage Service (Amazon S3)

com.amazonaws.Regione.s3

Gateway

Amazon Redshift

com.amazonaws.Regione.redshift-data

Interfaccia

Gestione dei segreti AWS

com.amazonaws.Regione.secretsmanager

Interfaccia

AWS Systems Manager

com.amazonaws.Regione.ssm

Interfaccia

Amazon CloudWatch

com.amazonaws.Regione.monitoring

Interfaccia

Amazon CloudWatch Logs

com.amazonaws.Regione.logs

Interfaccia

Amazon Forecast

com.amazonaws.Regione.forecast

com.amazonaws.Regione.forecastquery

Interfaccia

Amazon Textract

com.amazonaws.Regione.textract

Interfaccia

Amazon Comprehend

com.amazonaws.Regione.comprehend

Interfaccia

Amazon Rekognition

com.amazonaws.Regione.rekognition

Interfaccia

AWS Glue

com.amazonaws.Regione.glue

Interfaccia

AWS Application Auto Scaling

com.amazonaws.Regione.application-autoscaling

Interfaccia

Amazon Relational Database Service (Amazon RDS)

com.amazonaws.Regione.rds

Interfaccia

Amazon Bedrock (vedi nota dopo la tabella)

com.amazonaws.Regione.bedrock-runtime

Interfaccia

Amazon Kendra

com.amazonaws.Regione.kendra

Interfaccia

Amazon EMR Serverless

com.amazonaws.Region.emr-serverless

Interfaccia

Amazon Q Developer (vedi nota dopo la tabella)

com.amazonaws.Region.q

Interfaccia
Nota

L’endpoint VPC Amazon Q Developer è attualmente disponibile solo nella Regione Stati Uniti orientali (Virginia settentrionale). Per connetterti da altre Regioni, puoi scegliere una delle seguenti opzioni in base alle tue preferenze di sicurezza e infrastruttura:

Nota

Per Amazon Bedrock, il nome servizio endpoint dell’interfaccia com.amazonaws.Region.bedrock è obsoleto. Crea un nuovo endpoint VPC con il nome servizio elencato nella tabella precedente.

Inoltre, non è possibile eseguire il fine-tuning dei modelli di fondazione dai VPC Canvas senza accesso a Internet. Questo perché Amazon Bedrock non supporta gli endpoint VPC per le API di personalizzazione dei modelli. Per ulteriori informazioni sul fine-tuning dei modelli di fondazione in Canvas, consulta Fine-tuning dei modelli di fondazione.

Inoltre, devi aggiungere una policy degli endpoint per Amazon S3 per controllare l’accesso del principale AWS al tuo endpoint VPC. Per informazioni su come aggiornare la policy degli endpoint VPC, consulta Control access to VPC endpoints using endpoint policies.

Di seguito sono riportate due policy degli endpoint VPC che puoi utilizzare. Utilizza la prima policy per concedere l’accesso solo alle funzionalità di base di Canvas, come l’importazione di dati e la creazione di modelli. Utilizza la seconda policy per concedere l’accesso alle funzionalità di IA generativa aggiuntive in Canvas.

Basic VPC endpoint policy

La policy seguente garantisce l’accesso necessario all’endpoint VPC per le operazioni di base in Canvas.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }
Generative AI VPC endpoint policy

La policy seguente garantisce l’accesso necessario all’endpoint VPC per le operazioni di base in Canvas, nonché l’utilizzo di modelli di fondazione di IA generativa.

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*",
                "arn:aws:s3:::*fmeval/datasets*",
                "arn:aws:s3:::*jumpstart-cache-prod*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }

Fase 3: concessione delle autorizzazioni IAM

L'utente di SageMaker Canvas deve disporre delle autorizzazioni AWS Identity and Access Management necessarie per potersi connettere agli endpoint VPC. Il ruolo IAM a cui concedi le autorizzazioni deve essere lo stesso utilizzato durante l’onboarding nel dominio Amazon SageMaker AI. Puoi collegare la policy AmazonSageMakerFullAccess gestita da SageMaker AI al ruolo IAM dell’utente per concedere all’utente le autorizzazioni necessarie. Se richiedi autorizzazioni IAM più restrittive e utilizzi invece policy personalizzate, concedi al ruolo dell'utente l'autorizzazione ec2:DescribeVpcEndpointServices. SageMaker Canvas richiede queste autorizzazioni per verificare l'esistenza degli endpoint VPC necessari per i lavori Standard build. Se rileva questi endpoint VPC, i processi Standard build vengono eseguiti per impostazione predefinita nel tuo VPC. In caso contrario, verranno eseguiti nel VPC AWS gestito predefinito.

Per ricevere istruzioni su come collegare la policy IAM AmazonSageMakerFullAccess al tuo ruolo IAM dell'utente, consulta Adding and removing IAM identity permissions.

Per concedere al tuo ruolo IAM dell'utente l'autorizzazione granulare ec2:DescribeVpcEndpointServices, utilizza la procedura seguente.

  1. Accedi alla Console di gestione AWS e apri la console IAM.

  2. Nel riquadro di navigazione, seleziona Ruoli.

  3. Nell'elenco, scegliere il numero del ruolo per il quale si desidera concedere le autorizzazioni.

  4. Scegli la scheda Autorizzazioni.

  5. Scegli Aggiungi autorizzazioni, quindi seleziona Crea policy inline.

  6. Scegli la scheda JSON e inserisci la seguente policy, che concede l'autorizzazione ec2:DescribeVpcEndpointServices:

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "ec2:DescribeVpcEndpointServices",
            "Resource": "*"
        }
    ]
}

  7. Scegli Esamina la policy quindi scegli un Nome per la policy (per esempio, VPCEndpointPermissions).

  8. Scegli Crea policy.

Il ruolo IAM dell'utente dovrebbe ora disporre delle autorizzazioni per accedere agli endpoint VPC configurati nel tuo VPC.

(Facoltativo) Fase 4: sovrascrivere le impostazioni dei gruppi di sicurezza per utenti specifici

Se sei un amministratore, potresti desiderare che utenti diversi abbiano impostazioni VPC diverse o impostazioni VPC specifiche dell'utente. Quando si sovrascrivono le impostazioni predefinite del gruppo di sicurezza VPC per un utente specifico, tali impostazioni vengono trasmesse all'applicazione SageMaker Canvas per quell'utente.

Quando configuri un nuovo profilo utente in Studio Classic, puoi sostituire i gruppi di sicurezza a cui un utente specifico ha accesso nel tuo VPC. È possibile utilizzare la chiamata API SageMaker in CreateUserProfile (o create_user_profile con ilAWS CLI), quindi nelle UserSettings, è possibile specificare i SecurityGroups per l'utente.