Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Connect a los recursos de Amazon SageMaker AI desde una VPC
**importante**
La siguiente información se aplica tanto a Amazon SageMaker Studio como a Amazon SageMaker Studio Classic. Los mismos conceptos de conexión a los recursos de una VPC se aplican tanto a Studio como a Studio Classic.
Las instancias de Amazon SageMaker Studio y SageMaker AI notebook permiten el acceso directo a Internet de forma predeterminada. SageMaker La IA te permite descargar paquetes y libretas populares, personalizar tu entorno de desarrollo y trabajar de forma eficiente. Sin embargo, esto podría proporcionar una vía de acceso no autorizado a los datos. Por ejemplo, si instala un código malicioso en su equipo, como un cuaderno o una biblioteca de código fuente a disposición del público, este podría acceder a sus datos. Puede restringir el tráfico que puede acceder a Internet lanzando sus instancias de notebook Studio y SageMaker AI en una [Amazon Virtual Private Cloud (Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)).
Una Amazon Virtual Private Cloud es una red virtual dedicada a tu AWS cuenta. Con una VPC de Amazon, puede controlar el acceso a la red y la conectividad a Internet de sus instancias de Studio y de cuaderno. Puede eliminar el acceso directo a Internet para añadir otra capa de seguridad.
En los siguientes temas, se describe cómo conectar las instancias de Studio y las instancias de cuaderno a los recursos de una VPC.
**Topics**
+ [Connect Amazon SageMaker Studio de una VPC a recursos externos](studio-updated-and-internet-access.md)
+ [Conexión de cuadernos de Studio en una VPC a recursos externos](studio-notebooks-and-internet-access.md)
+ [Conexión de una instancia de cuaderno en una VPC a recursos externos](appendix-notebook-and-internet-access.md)
# Connect Amazon SageMaker Studio de una VPC a recursos externos
**importante**
A partir del 30 de noviembre de 2023, la experiencia anterior de Amazon SageMaker Studio pasa a denominarse Amazon SageMaker Studio Classic. La siguiente sección está dedicada expresamente al uso de la experiencia de Studio actualizada. Para obtener más información sobre el uso de la aplicación de Studio Classic, consulte [Amazon SageMaker Studio Clásico](studio.md).
En el siguiente tema se proporciona información sobre cómo conectar Amazon SageMaker Studio en una VPC a recursos externos.
**Topics**
+ [Comunicación predeterminada con Internet](#studio-notebooks-and-internet-access-default-setting)
+ [Comunicación `VPC only` con Internet](#studio-notebooks-and-internet-access-vpc-only)
## Comunicación predeterminada con Internet
De forma predeterminada, Amazon SageMaker Studio proporciona una interfaz de red que permite la comunicación con Internet a través de una VPC gestionada por SageMaker IA. El tráfico a AWS servicios como Amazon S3 CloudWatch pasa por una puerta de enlace a Internet, al igual que el tráfico que accede a la API de SageMaker IA y al tiempo de ejecución de la SageMaker IA. El tráfico entre el dominio y su volumen de Amazon EFS pasa por la VPC que especificó al incorporarse al dominio o que llamó a la API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)
## Comunicación `VPC only` con Internet
Para evitar que la SageMaker IA proporcione acceso a Internet a Studio, puede deshabilitar el acceso a Internet especificando el tipo de acceso a la `VPC only` red cuando se conecte [a Studio o llame a](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) la API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) Como resultado, no podrá ejecutar Studio a menos que su VPC tenga un punto final de interfaz para la SageMaker API y el tiempo de ejecución, o una puerta de enlace NAT con acceso a Internet, y sus grupos de seguridad permitan las conexiones salientes.
**nota**
El tipo de acceso a la red se puede cambiar después de crear el dominio mediante el parámetro `--app-network-access-type` del comando [update-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sagemaker/update-domain.html).
### Requisitos para usar el modo `VPC only`
Si ha elegido `VpcOnly`, siga estos pasos:
1. Debe utilizar solo subredes privadas. No puede usar subredes públicas en el modo `VpcOnly`.
1. Asegúrese de que sus subredes tengan la cantidad necesaria de direcciones IP. La cantidad esperada de direcciones IP necesarias por usuario puede variar según el caso de uso. Se recomiendan entre 2 y 4 direcciones IP por usuario. La capacidad total de direcciones IP de un dominio es la suma de las direcciones IP disponibles para cada subred que se proporcionan al crear el dominio. Asegúrese de que el uso estimado de direcciones IP no supere la capacidad admitida por la cantidad de subredes que proporcione. Además, el uso de subredes distribuidas en muchas zonas de disponibilidad puede mejorar la disponibilidad de las direcciones IP. Para obtener más información, consulte el tamaño de la [VPC y la subred](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) para. IPv4
**nota**
Solo puede configurar subredes con una VPC de tenencia predeterminada en la que su instancia se ejecute en hardware compartido. [Para obtener más información sobre el atributo de arrendamiento VPCs, consulte Instancias dedicadas.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)
1.
**aviso**
Al usar el modo `VpcOnly`, usted es propietario parcial de la configuración de red del dominio. Se recomienda la práctica de aplicar permisos de privilegio mínimo al acceso entrante y saliente que proporcionan las reglas del grupo de seguridad. Las configuraciones de reglas de entrada excesivamente permisivas podrían permitir a los usuarios con acceso a la VPC interactuar con las aplicaciones de otros perfiles de usuario sin autenticación.
Configure uno o más grupos de seguridad con reglas de entrada y salida que permitan el siguiente tráfico:
+ [Tráfico NFS a través de TCP en el puerto 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) entre el dominio y el volumen de Amazon EFS.
+ [Tráfico TCP en el grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Esto es necesario para la conectividad entre la aplicación Jupyter Server y las aplicaciones Kernel Gateway. Debe permitir el acceso al menos a los puertos del rango`8192-65535`.
Cree un grupo de seguridad distinto para cada perfil de usuario y agregue el acceso entrante desde ese mismo grupo de seguridad. No se recomienda reutilizar un grupo de seguridad a nivel de dominio para los perfiles de usuario. Si el grupo de seguridad de nivel de dominio permite el acceso entrante a sí mismo, todas las aplicaciones del dominio tendrán acceso a todas las demás aplicaciones del dominio.
1. Si desea permitir el acceso a Internet, debe usar una [puerta de enlace NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) con acceso a Internet, por ejemplo, a través de una [puerta de enlace de Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
1. Si no quiere permitir el acceso a Internet, [cree puntos finales de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) (AWS PrivateLink) para permitir que Studio acceda a los siguientes servicios con los nombres de servicio correspondientes. También debe asociar los grupos de seguridad de la VPC a estos puntos de conexión.
+ SageMaker API:. `com.amazonaws.region.sagemaker.api`
+ SageMaker Tiempo de ejecución de IA:`com.amazonaws.region.sagemaker.runtime`. Esto es necesario para ejecutar las invocaciones de puntos de conexión.
+ Amazon S3: `com.amazonaws.region.s3`.
+ SageMaker Proyectos:`com.amazonaws.region.servicecatalog`.
+ SageMaker Estudio:`aws.sagemaker.region.studio`.
+ Cualquier otro AWS servicio que necesite.
Si utiliza el [SDK de SageMaker Python](https://sagemaker.readthedocs.io/en/stable/) para ejecutar tareas de formación remota, también debe crear los siguientes puntos de enlace de Amazon VPC.
+ AWS Security Token Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch:. `com.amazonaws.region.logs` Esto es necesario para permitir que el SDK de SageMaker Python obtenga el estado del trabajo de formación remota desde Amazon CloudWatch.
1. Si utiliza el dominio en el modo `VpcOnly` desde una red en las instalaciones, establezca una conectividad privada desde la red del host que ejecuta Studio en el navegador y la Amazon VPC de destino. Esto es obligatorio porque la interfaz de usuario de Studio invoca los AWS puntos finales mediante llamadas a la API con credenciales temporales AWS . Estas credenciales temporales están asociadas al rol de ejecución del perfil de usuario que ha iniciado sesión. Si el dominio está configurado en `VpcOnly` modo en una red local, la función de ejecución podría definir las condiciones de la política de IAM que exijan la ejecución de las llamadas a la API de AWS servicio únicamente a través de los puntos de enlace de Amazon VPC configurados. Esto provoca que las llamadas a la API ejecutadas desde la interfaz de usuario de Studio no se realicen correctamente. Recomendamos resolver este problema utilizando una conexión [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) o [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html).
**nota**
Para un cliente que trabaja en el modo VPC, los firewalls de la empresa pueden provocar problemas de conexión con Studio o las aplicaciones. Realice las siguientes comprobaciones si detecta alguno de estos problemas al utilizar Studio desde detrás de un firewall.
Compruebe que la URL de Studio y URLs todas sus aplicaciones estén en la lista de permitidos de su red. Por ejemplo:
```
*.studio.region.sagemaker.aws
*.console.aws.a2z.com
```
Compruebe que las conexiones de websocket no estén bloqueadas. Jupyter usa websockets.
**Para obtener más información**
+ [Grupos de seguridad de su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [Conéctese a la SageMaker IA desde su VPC](interface-vpc-endpoint.md)
+ [VPC con subredes públicas y privadas (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
# Conexión de cuadernos de Studio en una VPC a recursos externos
En el siguiente tema se proporciona información sobre cómo conectar los cuadernos de Studio de una VPC a recursos externos.
## Comunicación predeterminada con Internet
De forma predeterminada, SageMaker Studio proporciona una interfaz de red que permite la comunicación con Internet a través de una VPC gestionada por SageMaker IA. El tráfico a AWS servicios, como Amazon S3 y Amazon CloudWatch, pasa por una puerta de enlace de Internet. El tráfico que accede a la SageMaker API y al tiempo de ejecución de la SageMaker IA también pasa por una pasarela de Internet. El tráfico entre el dominio y el volumen de Amazon EFS pasa por la VPC que identificó cuando se incorporó a Studio o que llamó a la API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) En el siguiente diagrama se muestra la configuración predeterminada.
![\[SageMaker Diagrama de VPC de Studio que muestra el uso del acceso directo a Internet.\]](http://docs.aws.amazon.com/es_es/sagemaker/latest/dg/images/studio/studio-vpc-internet.png)
## Comunicación `VPC only` con Internet
Para impedir que la SageMaker IA proporcione acceso a Internet a sus portátiles Studio, desactive el acceso a Internet especificando el tipo de acceso a la `VPC only` red. Especifica este tipo de acceso a la red cuando te [conectes a Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) o llames a la [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)API. Como resultado, no podrá ejecutar un cuaderno de Studio a menos que:
+ su VPC tiene un punto final de interfaz para la SageMaker API y el tiempo de ejecución, o una puerta de enlace NAT con acceso a Internet
+ sus grupos de seguridad permitan conexiones salientes
En el siguiente diagrama se muestra una configuración para utilizar el modo de solo VPC.
![\[SageMaker Diagrama de VPC de Studio que muestra el uso del modo solo VPC.\]](http://docs.aws.amazon.com/es_es/sagemaker/latest/dg/images/studio/studio-vpc-private.png)
### Requisitos para usar el modo `VPC only`
Si ha elegido `VpcOnly`, siga estos pasos:
1. Debe utilizar solo subredes privadas. No puede usar subredes públicas en el modo `VpcOnly`.
1. Asegúrese de que sus subredes tengan la cantidad necesaria de direcciones IP. La cantidad esperada de direcciones IP necesarias por usuario puede variar según el caso de uso. Se recomiendan entre 2 y 4 direcciones IP por usuario. La capacidad total de direcciones IP de un dominio de Studio es la suma de las direcciones IP disponibles para cada subred que se proporcionan al crear el dominio. Asegúrese de que el uso de direcciones IP no supere la capacidad que permite el número de subredes que ha proporcionado. Además, el uso de subredes distribuidas en muchas zonas de disponibilidad puede ayudar a mejorar la disponibilidad de las direcciones IP. Para obtener más información, consulte el tamaño de la [VPC y la subred](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#vpc-sizing-ipv4) para. IPv4
**nota**
Solo puede configurar subredes con una VPC de tenencia predeterminada en la que su instancia se ejecute en hardware compartido. [Para obtener más información sobre el atributo de arrendamiento VPCs, consulte Instancias dedicadas.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)
1.
**aviso**
Al usar el modo `VpcOnly`, usted es propietario parcial de la configuración de red del dominio. Se recomienda la práctica de aplicar permisos de privilegio mínimo al acceso entrante y saliente que proporcionan las reglas del grupo de seguridad. Las configuraciones de reglas de entrada excesivamente permisivas podrían permitir a los usuarios con acceso a la VPC interactuar con las aplicaciones de otros perfiles de usuario sin autenticación.
Configure uno o más grupos de seguridad con reglas de entrada y salida que permitan el siguiente tráfico:
+ [Tráfico NFS a través de TCP en el puerto 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) entre el dominio y el volumen de Amazon EFS.
+ [Tráfico TCP en el grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Esto es necesario para la conectividad entre la aplicación Jupyter Server y las aplicaciones Kernel Gateway. Debe permitir el acceso al menos a los puertos del rango`8192-65535`.
Cree un grupo de seguridad distinto para cada perfil de usuario y agregue el acceso entrante desde ese mismo grupo de seguridad. No se recomienda reutilizar un grupo de seguridad a nivel de dominio para los perfiles de usuario. Si el grupo de seguridad de dominio permite el acceso entrante a sí mismo, todas las aplicaciones del dominio tendrán acceso a todas las demás aplicaciones del dominio.
1. Si desea permitir el acceso a Internet, debe usar una [puerta de enlace NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) con acceso a Internet, por ejemplo, a través de una [puerta de enlace de Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
1. Para eliminar el acceso a Internet, [cree puntos finales de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) (AWS PrivateLink) para permitir que Studio acceda a los siguientes servicios con los nombres de servicio correspondientes. También debe asociar los grupos de seguridad de la VPC a estos puntos de conexión.
+ SageMaker API: `com.amazonaws.region.sagemaker.api`
+ SageMaker Tiempo de ejecución de IA:`com.amazonaws.region.sagemaker.runtime`. Esto es necesario para ejecutar los cuadernos de Studio y para entrenar y alojar modelos.
+ Amazon S3: `com.amazonaws.region.s3`.
+ Para usar SageMaker Projects:`com.amazonaws.region.servicecatalog`.
+ Cualquier otro AWS servicio que necesite.
Si utiliza el [SDK de SageMaker Python](https://sagemaker.readthedocs.io/en/stable/) para ejecutar tareas de formación remota, también debe crear los siguientes puntos de enlace de Amazon VPC.
+ AWS Security Token Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch:. `com.amazonaws.region.logs` Esto es necesario para permitir que el SDK de SageMaker Python obtenga el estado del trabajo de formación remota desde Amazon CloudWatch.
**nota**
Para un cliente que trabaja en modo VPC, los firewalls de la empresa pueden provocar problemas de conexión con SageMaker Studio o entre y JupyterServer . KernelGateway Realiza las siguientes comprobaciones si te encuentras con alguno de estos problemas al usar SageMaker Studio desde un firewall.
Compruebe que la URL de Studio esté en la lista de permitidas de su red.
Compruebe que las conexiones de websocket no estén bloqueadas. Jupyter usa websocket internamente. Si la KernelGateway aplicación lo está InService, es JupyterServer posible que no pueda conectarse al KernelGateway. También debería ver este problema al abrir la terminal del sistema.
**Para obtener más información**
+ [Proteger la conectividad de Amazon SageMaker Studio mediante una VPC privada](https://aws.amazon.com/blogs/machine-learning/securing-amazon-sagemaker-studio-connectivity-using-a-private-vpc).
+ [Grupos de seguridad de su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
+ [Conéctese a la SageMaker IA desde su VPC](interface-vpc-endpoint.md)
+ [VPC con subredes públicas y privadas (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
# Conexión de una instancia de cuaderno en una VPC a recursos externos
En el siguiente tema, se proporciona información sobre cómo conectar su instancia de cuaderno en una VPC a recursos externos.
## Comunicación predeterminada con Internet
Cuando su portátil permite el *acceso directo a Internet*, la SageMaker IA proporciona una interfaz de red que permite que el portátil se comunique con Internet a través de una VPC gestionada por SageMaker IA. El tráfico dentro del CIDR de su VPC pasa por la interfaz de red elástica creada en su VPC. Todo el resto del tráfico pasa por la interfaz de red creada por la SageMaker IA, que es básicamente a través de la Internet pública. El tráfico a los puntos de conexión de VPC de puerta de enlace como Amazon S3 y DynamoDB pasa a través de Internet público, mientras que el tráfico a los puntos de conexión de VPC de interfaz seguirá pasando a través de su VPC. Si desea utilizar puntos de conexión de VPC de puerta de enlace, puede ser buena idea deshabilitar el acceso directo a Internet.
## Comunicación solo de VPC con Internet
Para deshabilitar el acceso directo a Internet, puede especificar una VPC para su instancia de bloc de notas. De este modo, evitas que la SageMaker IA proporcione acceso a Internet a la instancia de tu portátil. Como resultado, la instancia de cuaderno no podrá realizar el entrenamiento de los modelos ni alojarlos hasta que su VPC disponga de un punto de conexión de interfaz (AWS PrivateLink) o una puerta de enlace NAT y sus grupos de seguridad permitan las conexiones salientes.
Para obtener información sobre cómo crear un punto final de interfaz de VPC AWS PrivateLink para usarlo en su instancia de bloc de notas, consulte. [Conexión a una instancia de bloc de notas a través de un punto de enlace de interfaz de VPC](notebook-interface-endpoint.md) Para obtener información sobre la configuración de una puerta de enlace NAT para su VPC, consulte [VPC with public and private Subnets (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-example-private-subnets-nat.html) en la *Guía del usuario de Amazon Virtual Private Cloud*. Para obtener información sobre los grupos de seguridad, consulte [Grupos de seguridad de su VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html). Para obtener más información sobre las configuraciones de red en cada modo de red y la configuración de la red local, consulte [Descripción de las configuraciones de red de las instancias de SageMaker notebook de Amazon y las opciones de enrutamiento avanzadas](https://aws.amazon.com/blogs/machine-learning/understanding-amazon-sagemaker-notebook-instance-networking-configurations-and-advanced-routing-options/).
**aviso**
Al usar una VPC para su instancia de notebook, usted es propietario parcial de la configuración de red de la instancia. La práctica de seguridad recomendada es aplicar permisos de privilegio mínimo al acceso entrante y saliente que proporcionan las reglas del grupo de seguridad. Si aplica configuraciones de reglas de entrada demasiado permisivas, los usuarios que tengan acceso a su VPC podrían acceder a sus cuadernos de Jupyter sin autenticarse.
## Seguridad e instancias compartidas de cuaderno
Una instancia de SageMaker notebook está diseñada para que funcione mejor para un usuario individual. Se ha diseñado para proporcionar a los analizadores de datos y a otros usuarios la mayor potencia de administración del entorno de desarrollo.
Un usuario de instancia de bloc de notas dispone de acceso raíz para la instalación de paquetes y otro software pertinente. Le recomendamos que decida cuándo conceder a las personas acceso a las instancias de bloc de notas asociadas a una VPC que contenga información confidencial. Por ejemplo, es posible que desee conceder a un usuario acceso a una instancia de cuaderno con una política de IAM al darle la capacidad de crear una URL de cuaderno prefirmada, tal como se muestra en el siguiente ejemplo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:notebook-instance/myNotebookInstance"
}
]
}
```
------