Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configura Amazon SageMaker Canvas in un VPC senza accesso a Internet
L'applicazione Amazon SageMaker Canvas viene eseguita in un contenitore in un Amazon Virtual Private Cloud (VPC) AWS gestito. Se desideri controllare ulteriormente l'accesso alle tue risorse o eseguire SageMaker Canvas senza accesso pubblico a Internet, puoi configurare il dominio Amazon SageMaker AI e le impostazioni VPC. All'interno del tuo VPC, puoi configurare impostazioni come gruppi di sicurezza (firewall virtuali che controllano il traffico in entrata e in uscita dalle istanze Amazon EC2) e sottoreti (intervalli di indirizzi IP nel tuo VPC). Per ulteriori informazioni VPCs, consulta [Come funziona Amazon VPC.](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html)
Quando l'applicazione SageMaker Canvas è in esecuzione nel VPC AWS gestito, può interagire con altri AWS servizi utilizzando una connessione Internet o tramite endpoint VPC creati in un VPC gestito dal cliente (senza accesso pubblico a Internet). SageMaker Le applicazioni Canvas possono accedere a questi endpoint VPC tramite un'interfaccia di rete creata da Studio Classic che fornisce connettività al VPC gestito dal cliente. Il comportamento predefinito dell'applicazione Canvas prevede l'accesso a Internet. SageMaker Quando si utilizza una connessione Internet, i container dei processi precedenti accedono a risorse AWS su Internet, come i bucket Amazon S3, in cui vengono archiviati i dati di addestramento e gli artefatti del modello.
Tuttavia, se hai requisiti di sicurezza per controllare l'accesso ai contenitori di dati e lavori, ti consigliamo di configurare SageMaker Canvas e il tuo VPC in modo che dati e contenitori non siano accessibili su Internet. SageMaker AI utilizza le impostazioni di configurazione VPC specificate durante la configurazione del dominio per SageMaker Canvas.
Se desideri configurare la tua applicazione SageMaker Canvas senza accesso a Internet, devi configurare le impostazioni VPC durante l'onboarding nel [dominio Amazon SageMaker AI](gs-studio-onboard.md), configurare gli endpoint VPC e concedere le autorizzazioni necessarie. AWS Identity and Access Management Per informazioni sulla configurazione di un VPC in SageMaker Amazon AI, consulta. [Scelta di un Amazon VPC](onboard-vpc.md) Le sezioni seguenti descrivono come eseguire SageMaker Canvas in un VPC senza accesso pubblico a Internet.
## Configura Amazon SageMaker Canvas in un VPC senza accesso a Internet
Puoi inviare traffico da SageMaker Canvas ad altri AWS servizi tramite il tuo VPC. Se il tuo VPC non dispone di accesso pubblico a Internet e hai impostato il dominio in modalità **solo VPC**, SageMaker Canvas non avrà nemmeno l'accesso pubblico a Internet. Ciò include tutte le richieste, come l'accesso ai set di dati in Amazon S3 o i processi di addestramento per le build Standard, che quindi passano attraverso gli endpoint VPC nel tuo VPC anziché tramite la rete Internet pubblica. Quando effettui l’onboarding nel dominio e in [Scelta di un Amazon VPC](onboard-vpc.md), puoi impostare il tuo VPC come predefinito per il dominio e puoi specificare le impostazioni desiderate per il gruppo di sicurezza e la sottorete. Quindi, l' SageMaker intelligenza artificiale crea un'interfaccia di rete nel tuo VPC che SageMaker Canvas utilizza per accedere agli endpoint VPC nel tuo VPC.
Assicurati di configurare uno o più gruppi di sicurezza nel VPC con regole in entrata e in uscita che consentano il [traffico TCP all’interno del gruppo di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Questa configurazione è richiesta per la connettività tra l’applicazione del server Jupyter e le applicazioni del gateway kernel. Devi consentire l'accesso ad almeno le porte dell'intervallo `8192-65535`. Crea anche un gruppo di sicurezza distinto per ogni profilo utente e aggiungi l’accesso in entrata dallo stesso gruppo di sicurezza. Consigliamo di non riutilizzare un gruppo di sicurezza a livello di dominio per i profili utente. Se il gruppo di sicurezza a livello di dominio consente l’accesso in entrata a se stesso, tutte le applicazioni del dominio avranno accesso a tutte le altre applicazioni del dominio. Tieni presente che le impostazioni del gruppo di sicurezza e della sottorete vengono configurate dopo aver completato l’onboarding nel dominio.
Durante l'onboarding sul dominio, se scegli **Solo Internet pubblico** come tipo di accesso alla rete, il VPC è gestito dall' SageMaker IA e consente l'accesso a Internet.
Puoi modificare questo comportamento scegliendo **solo VPC** in modo che l' SageMaker IA invii tutto il traffico a un'interfaccia di rete creata dall' SageMaker IA nel VPC specificato. Quando scegli questa opzione, devi fornire le sottoreti, i gruppi di sicurezza e gli endpoint VPC necessari per comunicare con l' SageMaker API e SageMaker AI Runtime e vari AWS servizi, come Amazon S3 e CloudWatch Amazon, utilizzati da Canvas. SageMaker Tieni presente che puoi importare dati da bucket Amazon S3 solo se sono situati nella stessa Regione del tuo VPC.
Le seguenti procedure mostrano come configurare queste impostazioni per utilizzare SageMaker Canvas senza Internet.
### Fase 1: onboarding verso il dominio Amazon SageMaker AI
[Per inviare il traffico SageMaker Canvas a un'interfaccia di rete nel tuo VPC anziché su Internet, specifica il VPC che desideri utilizzare per l'onboarding sul dominio Amazon AI. SageMaker ](gs-studio-onboard.md) È inoltre necessario specificare almeno due sottoreti nel VPC che SageMaker l'IA può utilizzare. Scegli **Configurazione standard** ed esegui questa procedura per configurare la **sezione Rete e archiviazione** del dominio.
1. Seleziona il **VPC** desiderato.
1. Scegli due o più **sottoreti**. Se non specifichi le sottoreti, l' SageMaker IA utilizza tutte le sottoreti nel VPC.
1. Scegli uno o più **Gruppi di sicurezza**.
1. Scegli **Solo VPC** per disattivare l'accesso diretto a Internet nel AWS VPC gestito in cui SageMaker è ospitato Canvas.
Dopo aver disabilitato l’accesso a Internet, completa la procedura di onboarding per configurare il tuo dominio. Per ulteriori informazioni sulle impostazioni VPC per il dominio Amazon SageMaker AI, consulta. [Scelta di un Amazon VPC](onboard-vpc.md)
### Fase 2: configurazione di endpoint VPC e accesso
**Nota**
Per configurare Canvas nel tuo VPC, devi abilitare i nomi host DNS privati per i tuoi endpoint VPC. Per ulteriori informazioni, consulta [Connect to SageMaker AI Through a VPC Interface](https://docs.aws.amazon.com/sagemaker/latest/dg/interface-vpc-endpoint.html) Endpoint.
SageMaker Canvas accede ad altri AWS servizi solo per gestire e archiviare i dati per le sue funzionalità. Ad esempio, si connette ad Amazon Redshift se gli utenti accedono a un database Amazon Redshift. Può connettersi a un AWS servizio come Amazon Redshift utilizzando una connessione Internet o un endpoint VPC. Usa gli endpoint VPC se desideri configurare connessioni dal tuo VPC a AWS servizi che non utilizzano la rete Internet pubblica.
Un endpoint VPC crea una connessione privata a un AWS servizio che utilizza un percorso di rete isolato dalla rete Internet pubblica. Ad esempio, se configuri l'accesso ad Amazon S3 utilizzando un endpoint VPC dal tuo VPC, l'applicazione Canvas SageMaker può accedere ad Amazon S3 tramite l'interfaccia di rete del tuo VPC e quindi tramite l'endpoint VPC che si connette ad Amazon S3. La comunicazione tra SageMaker Canvas e Amazon S3 è privata.
Per ulteriori informazioni sulla configurazione degli endpoint VPC per il tuo VPC, consulta [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html). Se utilizzi modelli Amazon Bedrock in Canvas con un VPC, per ulteriori informazioni sul controllo dell'accesso ai tuoi dati, consulta [Protect jobs using a VPC](https://docs.aws.amazon.com/bedrock/latest/userguide/usingVPC.html#configureVPC) in *Guida per l’utente di Amazon Bedrock*.
Di seguito sono riportati gli endpoint VPC per ogni servizio che puoi utilizzare con Canvas: SageMaker
| Servizio | Endpoint | Tipo di endpoint |
| --- | --- | --- |
| AWS Application Auto Scaling | com.amazonaws. *Region*.scalabilità automatica delle applicazioni | Interfaccia |
| Amazon Athena | com.amazonaws. *Region*.atena | Interfaccia |
| Amazon SageMaker AI | com.amazonaws.it. *Region*.sagemaker.api com.amazonaws. *Region*.sagemaker.runtime com.amazonaws. *Region*.taccuino | Interfaccia |
| Assistente di data science di Amazon SageMaker AI | com.amazonaws. *Region*. sagemaker-data-science-assistant | Interfaccia |
| AWS Security Token Service | com.amazonaws. *Region*.sts | Interfaccia |
| Amazon Elastic Container Registry (Amazon ECR) | com.amazonaws.it. *Region*.ecr.api com.amazonaws. *Region*.ecr.dkr | Interfaccia |
| Amazon Elastic Compute Cloud (Amazon EC2) | com.amazonaws. *Region*.ec2 | Interfaccia |
| Amazon Simple Storage Service (Amazon S3) | com.amazonaws.it. *Region*.s3 | Gateway |
| Amazon Redshift | com.amazonaws. *Region*.redshift-dati | Interfaccia |
| Gestione dei segreti AWS | com.amazonaws. *Region*. gestore dei segreti | Interfaccia |
| AWS Systems Manager | com.amazonaws.it. *Region*.ssm | Interfaccia |
| Amazon CloudWatch | com.amazonaws. *Region*.monitoraggio | Interfaccia |
| CloudWatch Registri Amazon | com.amazonaws.it. *Region*.registri | Interfaccia |
| Amazon Forecast | com.amazonaws.it. *Region*.previsione com.amazonaws.it. *Region*.query di previsione | Interfaccia |
| Amazon Textract | com.amazonaws. *Region*.tr estrarre | Interfaccia |
| Amazon Comprehend | com.amazonaws.it. *Region*. comprendere | Interfaccia |
| Amazon Rekognition | com.amazonaws. *Region*.riconoscimento | Interfaccia |
| AWS Glue | com.amazonaws. *Region*.colla | Interfaccia |
| AWS Application Auto Scaling | com.amazonaws. *Region*.scalabilità automatica delle applicazioni | Interfaccia |
| Amazon Relational Database Service (Amazon RDS) | com.amazonaws. *Region*.rds | Interfaccia |
| Amazon Bedrock (vedi nota dopo la tabella) | com.amazonaws.it. *Region*.bedrock-runtime | Interfaccia |
| Amazon Kendra | com.amazonaws.it. *Region*.kendra | Interfaccia |
| Amazon EMR Serverless | com.amazonaws. *Region*.emr senza server | Interfaccia |
| Amazon Q Developer (vedi nota dopo la tabella) | com.amazonaws. *Region*q. | Interfaccia |
**Nota**
L’endpoint VPC Amazon Q Developer è attualmente disponibile solo nella Regione Stati Uniti orientali (Virginia settentrionale). Per connetterti da altre Regioni, puoi scegliere una delle seguenti opzioni in base alle tue preferenze di sicurezza e infrastruttura:
**Configura un gateway NAT**. Configura un gateway NAT nella sottorete privata del tuo VPC per abilitare la connettività Internet per l’endpoint Q Developer. Per ulteriori informazioni, consulta [Come posso configurare un gateway NAT pubblico per accedere a Internet da una sottorete privata in Amazon VPC?](https://repost.aws/knowledge-center/nat-gateway-vpc-private-subnet)
**Abilita l’accesso agli endpoint VPC tra Regioni**. Configura l’accesso agli endpoint VPC tra Regioni per Q Developer. Utilizza questa opzione per connetterti in modo sicuro senza richiedere l’accesso a Internet. Per ulteriori informazioni, consulta la pagina che spiega come [configurare l’accesso agli endpoint VPC tra Regioni](https://repost.aws/knowledge-center/vpc-endpoints-cross-region-aws-services).
**Nota**
Per Amazon Bedrock, il nome servizio endpoint dell’interfaccia `com.amazonaws.Region.bedrock` è obsoleto. Crea un nuovo endpoint VPC con il nome servizio elencato nella tabella precedente.
Inoltre, non è possibile ottimizzare i modelli di base di Canvas senza accesso VPCs a Internet. Questo perché Amazon Bedrock non supporta gli endpoint VPC per la personalizzazione dei modelli. APIs Per ulteriori informazioni sul fine-tuning dei modelli di fondazione in Canvas, consulta [Fine-tuning dei modelli di fondazione](canvas-fm-chat-fine-tune.md).
È inoltre necessario aggiungere una policy per gli endpoint per Amazon S3 per AWS controllare l'accesso principale all'endpoint VPC. Per informazioni su come aggiornare la policy degli endpoint VPC, consulta [Control access to VPC endpoints using endpoint policies](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).
Di seguito sono riportate due policy degli endpoint VPC che puoi utilizzare. Utilizza la prima policy per concedere l’accesso solo alle funzionalità di base di Canvas, come l’importazione di dati e la creazione di modelli. Utilizza la seconda policy per concedere l’accesso alle [funzionalità di IA generativa](https://docs.aws.amazon.com/sagemaker/latest/dg/canvas-fm-chat.html) aggiuntive in Canvas.
------
#### [ Basic VPC endpoint policy ]
La policy seguente garantisce l’accesso necessario all’endpoint VPC per le operazioni di base in Canvas.
```
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
```
------
#### [ Generative AI VPC endpoint policy ]
La policy seguente garantisce l’accesso necessario all’endpoint VPC per le operazioni di base in Canvas, nonché l’utilizzo di modelli di fondazione di IA generativa.
```
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*fmeval/datasets*",
"arn:aws:s3:::*jumpstart-cache-prod*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
```
------
### Fase 3: concessione delle autorizzazioni IAM
L'utente SageMaker Canvas deve disporre delle AWS Identity and Access Management autorizzazioni necessarie per consentire la connessione agli endpoint VPC. Il ruolo IAM a cui concedi le autorizzazioni deve essere lo stesso che hai utilizzato per l'onboarding sul dominio Amazon SageMaker AI. Puoi collegare la `AmazonSageMakerFullAccess` policy gestita dall' SageMaker IA al ruolo IAM in modo che l'utente fornisca all'utente le autorizzazioni richieste. Se richiedi autorizzazioni IAM più restrittive e utilizzi invece policy personalizzate, concedi l'autorizzazione al ruolo dell'utente. `ec2:DescribeVpcEndpointServices` SageMaker Canvas richiede queste autorizzazioni per verificare l'esistenza degli endpoint VPC richiesti per i lavori di compilazione standard. Se rileva questi endpoint VPC, i processi Standard build vengono eseguiti per impostazione predefinita nel tuo VPC. In caso contrario, verranno eseguiti nel VPC AWS gestito predefinito.
Per ricevere istruzioni su come collegare la policy IAM `AmazonSageMakerFullAccess` al tuo ruolo IAM dell'utente, consulta [Adding and removing IAM identity permissions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
Per concedere al tuo ruolo IAM dell'utente l'autorizzazione granulare `ec2:DescribeVpcEndpointServices`, utilizza la procedura seguente.
1. Accedi Console di gestione AWS e apri la [console IAM](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Nell'elenco, scegliere il numero del ruolo per il quale si desidera concedere le autorizzazioni.
1. Scegli la scheda **Autorizzazioni**.
1. Scegli **Aggiungi autorizzazioni**, quindi seleziona **Crea policy inline**.
1. Scegli la scheda **JSON** e inserisci la seguente policy, che concede l'autorizzazione `ec2:DescribeVpcEndpointServices`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "ec2:DescribeVpcEndpointServices",
"Resource": "*"
}
]
}
```
------
1. Scegli **Esamina la policy** quindi scegli un **Nome** per la policy (per esempio, `VPCEndpointPermissions`).
1. Scegli **Crea policy**.
Il ruolo IAM dell'utente dovrebbe ora disporre delle autorizzazioni per accedere agli endpoint VPC configurati nel tuo VPC.
### (Facoltativo) Fase 4: sovrascrivere le impostazioni dei gruppi di sicurezza per utenti specifici
Se sei un amministratore, potresti desiderare che utenti diversi abbiano impostazioni VPC diverse o impostazioni VPC specifiche dell'utente. Quando sovrascrivi le impostazioni predefinite del gruppo di sicurezza VPC per un utente specifico, queste impostazioni vengono trasmesse all'applicazione SageMaker Canvas per quell'utente.
Quando configuri un nuovo profilo utente in Studio Classic, puoi sostituire i gruppi di sicurezza a cui un utente specifico ha accesso nel tuo VPC. È possibile utilizzare la chiamata [CreateUserProfile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html) SageMaker API (o [create\$1user\$1profile](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sagemaker.html#SageMaker.Client.create_user_profile) con [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)), quindi in, è possibile specificare l'indirizzo per l'`UserSettings`utente. `SecurityGroups`