View a markdown version of this page

Configurazione dell’accesso alla rete tra Studio e le origini dati (per amministratori) - Amazon SageMaker AI
Studio e il datastore sono in VPC separatiStudio e il datastore nello stesso VPCStudio e il datastore comunicano tramite la rete Internet pubblica

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dell’accesso alla rete tra Studio e le origini dati (per amministratori)

Questa sezione fornisce informazioni su come gli amministratori possono configurare una rete per abilitare la comunicazione tra Amazon SageMaker Studio e Amazon Redshift o Amazon Athena, all'interno di un Amazon VPC privato o su Internet. Le istruzioni di rete variano a seconda che il dominio Studio e il datastore siano implementati all’interno di un Amazon Virtual Private Cloud (VPC) privato o comunichino tramite Internet.

Per impostazione predefinita, Studio viene eseguito in un VPC AWS gestito con accesso a Internet. Quando si utilizza una connessione Internet, Studio accede a AWS risorse, come i bucket Amazon S3, tramite Internet. Tuttavia, se devi rispettare requisiti di sicurezza per il controllo dell’accesso ai container di dati e processi, ti consigliamo di configurare Studio e il datastore (Amazon Redshift o Athena) in modo che dati e container non siano accessibili su Internet. Per controllare l'accesso alle tue risorse o eseguire Studio senza accesso pubblico a Internet, puoi specificare il tipo di accesso alla VPC only rete quando effettui l'onboarding nel dominio Amazon SageMaker AI. In questo scenario, Studio stabilisce connessioni ad altri servizi AWS tramite endpoint VPC privati. Per informazioni sulla configurazione di Studio in modalità VPC only, consulta Connessione di Studio a risorse esterne in un VPC.

Nota

Per connettersi a Snowflake, il VPC del dominio Studio deve disporre dell’accesso a Internet.

Le prime due sezioni descrivono come garantire la comunicazione tra il dominio Studio e il datastore nei VPC senza accesso pubblico a Internet. L’ultima sezione illustra come garantire la comunicazione tra Studio e il datastore utilizzando una connessione Internet. Prima di connettere Studio e il tuo data store senza accesso a Internet, assicurati di stabilire gli endpoint per Amazon Simple Storage Service, Amazon Redshift o Athena SageMaker , AI e per CloudWatch Amazon and (registrazione AWS CloudTrail e monitoraggio).

Studio e il datastore sono implementati in VPC separati

Per consentire la comunicazione tra Studio e un datastore implementati in diversi VPC:

  1. Inizia connettendo i tuoi VPC tramite una connessione di peering dei VPC.

  2. Aggiorna le tabelle di routing in ogni VPC per consentire il traffico di rete bidirezionale tra le sottoreti di Studio e quelle del datastore.

  3. Configura i tuoi gruppi di sicurezza per consentire il traffico in uscita e in entrata.

I passaggi di configurazione sono gli stessi indipendentemente dal fatto che Studio e il data store siano distribuiti in un unico AWS account o su account diversi. AWS

  1. Peering VPC

    Crea una connessione peering VPC per facilitare il collegamento in rete tra i due VPC (Studio e il datastore).

    1. Dall’account Studio, nella dashboard dei VPC, scegli Connessioni peering, quindi Crea connessione peering.

    2. Crea la tua richiesta di peering del VPC di Studio con il VPC del datastore. Quando richiedi il peering in un altro AWS account, scegli Altro account in Seleziona un altro VPC con cui eseguire il peering.

      Per il peering multi-account, l’amministratore deve accettare la richiesta dall’account del motore SQL.

      Quando si esegue il peering di sottoreti private, è opportuno abilitare la risoluzione DNS dell'IP privato a livello di connessione di peering dei VPC.

  2. Tabelle di routing

    Configura il routing per consentire il traffico di rete tra le sottoreti VPC di Studio e del datastore in entrambe le direzioni.

    Dopo aver stabilito la connessione peering, l’amministratore (per ciascun account dell’accesso multi-account) può aggiungere percorsi alle tabelle di routing delle sottoreti private per instradare il traffico tra le sottoreti VPC di Studio e del datastore. Puoi definire questi percorsi accedendo alla sezione Tabelle di routing di ciascun VPC nella dashboard dei VPC.

  3. Gruppi di sicurezza

    Infine, il gruppo di sicurezza del dominio VPC di Studio deve consentire il traffico in uscita e il gruppo di sicurezza del VPC del datastore deve consentire il traffico in entrata sulla porta del datastore dal gruppo di sicurezza VPC di Studio.

Studio e il datastore sono implementati nello stesso VPC

Se Studio e il datastore si trovano in sottoreti private diverse nello stesso VPC, aggiungi i percorsi nella tabella di routing di ogni sottorete privata. I percorsi devono consentire il flusso del traffico tra le sottoreti di Studio e quelle del datastore. Puoi definire questi percorsi accedendo alla sezione Tabelle di routing di ciascun VPC nella dashboard dei VPC. Se Studio e il datastore sono stati implementati nello stesso VPC e nella stessa sottorete, non è necessario instradare il traffico.

Indipendentemente da eventuali aggiornamenti della tabella di routing, il gruppo di sicurezza del dominio VPC di Studio deve consentire il traffico in uscita e il gruppo di sicurezza del VPC del datastore deve consentire il traffico in entrata sulla sua porta dal gruppo di sicurezza VPC di Studio.

Studio e il datastore comunicano tramite la rete Internet pubblica

Per impostazione predefinita, Studio fornisce un’interfaccia di rete che consente la comunicazione con Internet tramite un gateway Internet nel VPC associato al dominio Studio. Se scegli di connetterti al datastore tramite la rete Internet pubblica, il datastore deve accettare il traffico in entrata sulla sua porta.

È necessario utilizzare un gateway NAT per consentire alle istanze nelle sottoreti private di più VPC di condividere un unico indirizzo IP pubblico fornito dal gateway Internet durante l’accesso a Internet.

Nota

Ogni porta aperta per il traffico in entrata rappresenta un potenziale rischio per la sicurezza. Esaminare attentamente i gruppi di sicurezza personalizzati per assicurarsi di ridurre al minimo le vulnerabilità.