As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Conecte-se aos recursos de SageMaker IA da Amazon de dentro de uma VPC
**Importante**
As informações a seguir se aplicam tanto ao Amazon SageMaker Studio quanto ao Amazon SageMaker Studio Classic. Os mesmos conceitos de conexão com recursos em uma VPC se aplicam tanto ao Studio quanto ao Studio Classic.
As instâncias do Amazon SageMaker Studio e do notebook SageMaker AI permitem acesso direto à Internet por padrão. SageMaker A IA permite que você baixe pacotes e notebooks populares, personalize seu ambiente de desenvolvimento e trabalhe com eficiência. No entanto, isso pode abrir brecha para o acesso não autorizado aos seus dados. Por exemplo, se você instalar um código malicioso em seu computador, na forma de um caderno disponível publicamente ou biblioteca de código-fonte, ele poderá acessar seus dados. Você pode restringir qual tráfego pode acessar a Internet iniciando suas instâncias de notebook Studio e SageMaker AI em uma [Amazon Virtual Private Cloud (Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)).
Uma Amazon Virtual Private Cloud é uma rede virtual dedicada à sua AWS conta. Com uma VPC da Amazon, você pode controlar o acesso à rede e a conectividade com a internet do Studio e suas instâncias de caderno. Você pode desabilitar o acesso direto à internet para adicionar uma camada adicional de segurança.
Os tópicos a seguir descrevem como conectar suas instâncias do Studio e instâncias do caderno aos recursos em uma VPC.
**Topics**
+ [Conecte o Amazon SageMaker Studio em uma VPC a recursos externos](studio-updated-and-internet-access.md)
+ [Conectar os cadernos do Studio em uma VPC para recursos externos](studio-notebooks-and-internet-access.md)
+ [Conectar uma instância de caderno em uma VPC aos recursos externos](appendix-notebook-and-internet-access.md)
# Conecte o Amazon SageMaker Studio em uma VPC a recursos externos
**Importante**
Em 30 de novembro de 2023, a experiência anterior do Amazon SageMaker Studio agora se chama Amazon SageMaker Studio Classic. A seção a seguir é específica ao uso da experiência atualizada do Studio. Para obter informações sobre como usar a aplicação do Studio Classic, consulte [Amazon SageMaker Studio Clássico](studio.md).
O tópico a seguir fornece informações sobre como conectar o Amazon SageMaker Studio em uma VPC a recursos externos.
**Topics**
+ [Comunicação padrão com a internet](#studio-notebooks-and-internet-access-default-setting)
+ [Comunicação da `VPC only` com a internet](#studio-notebooks-and-internet-access-vpc-only)
## Comunicação padrão com a internet
Por padrão, o Amazon SageMaker Studio fornece uma interface de rede que permite a comunicação com a Internet por meio de uma VPC gerenciada pela SageMaker IA. O tráfego para AWS serviços como o Amazon S3 CloudWatch passa por um gateway de internet, assim como o tráfego que acessa a API de IA e SageMaker o tempo de SageMaker execução da IA. O tráfego entre o domínio e seu volume do Amazon EFS passa pela VPC que você especificou quando se integrou ao domínio ou chamou a API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)
## Comunicação da `VPC only` com a internet
Para impedir que a SageMaker IA forneça acesso à Internet ao Studio, você pode desativar o acesso à Internet especificando o tipo de acesso à `VPC only` rede ao se [integrar ao Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) ou chamar a [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)API. Como resultado, você não poderá executar o Studio, a menos que sua VPC tenha um endpoint de interface para a SageMaker API e o tempo de execução, ou um gateway NAT com acesso à Internet, e seus grupos de segurança permitam conexões de saída.
**nota**
O tipo de acesso à rede pode ser alterado após a criação do domínio usando o parâmetro `--app-network-access-type` do comando [update-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sagemaker/update-domain.html).
### Requisitos para usar o modo `VPC only`
Quando você escolher `VpcOnly`, siga estas etapas:
1. Você deve usar somente sub-redes privadas. Você não pode usar sub-redes públicas no modo `VpcOnly`.
1. Certifique-se de que suas sub-redes tenham o número exigido de endereços IP necessários. O número esperado de endereços IP necessários por usuário pode variar de acordo com o caso de uso. Recomendamos entre 2 e 4 endereços IP por usuário. A capacidade total do endereço IP de um domínio é a soma dos endereços IP disponíveis para cada sub-rede fornecida quando o domínio é criado. Certifique-se de que o uso estimado do endereço IP não exceda a capacidade compatível com o número de sub-redes que você fornece. Além disso, o uso de sub-redes distribuídas em várias zonas de disponibilidade pode ajudar na disponibilidade do endereço IP. Para obter mais informações, consulte [Dimensionamento de VPC e sub-rede](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) para. IPv4
**nota**
Você pode configurar somente sub-redes com uma VPC de locação padrão em que sua instância é executada em hardware compartilhado. Para obter mais informações sobre o atributo de locação para VPCs, consulte [Instâncias dedicadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).
1.
**Atenção**
Ao usar o modo `VpcOnly`, você possui parcialmente a configuração de rede do domínio. Recomendamos a melhor prática de segurança de aplicar permissões de privilégio mínimo ao acesso de entrada e saída que as regras do grupo de segurança fornecem. Configurações de regras de entrada excessivamente permissivas podem permitir que usuários com acesso à VPC interajam com as aplicações de outros perfis de usuário sem autenticação.
Configure um ou mais grupos de segurança com regras de entrada e saída que permitam o seguinte tráfego:
+ [Tráfego NFS via TCP na porta 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) entre o domínio e o volume do Amazon EFS.
+ [Tráfego TCP dentro do grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Isso é necessário para a conectividade entre a aplicação Jupyter Server e as aplicações Kernel Gateway. Você deve permitir o acesso pelo menos às portas no intervalo `8192-65535`.
Crie um grupo de segurança distinto para cada perfil de usuário e adicione acesso de entrada desse mesmo grupo de segurança. Não recomendamos reutilizar um grupo de segurança no nível de domínio para perfis de usuário. Se o grupo de segurança no nível de domínio permitir acesso de entrada a si mesmo, todas as aplicações no domínio terão acesso a todas as outras aplicações no domínio.
1. Se você quiser permitir o acesso à Internet, deverá usar um [gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) com acesso à Internet, por exemplo, por meio de um [gateway da Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
1. Se você não quiser permitir o acesso à Internet, [crie uma interface VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) (AWS PrivateLink) para permitir que o Studio acesse os seguintes serviços com os nomes de serviço correspondentes. Você também deve associar os grupos de segurança da sua VPC a esses endpoints.
+ SageMaker API:`com.amazonaws.region.sagemaker.api`.
+ SageMaker Tempo de execução da IA:`com.amazonaws.region.sagemaker.runtime`. Isso é necessário para executar invocações de endpoint.
+ Amazon S3: `com.amazonaws.region.s3`.
+ SageMaker Projetos:`com.amazonaws.region.servicecatalog`.
+ SageMaker Estúdio:`aws.sagemaker.region.studio`.
+ Quaisquer outros AWS serviços de que você precise.
Se você usa o [SDK do SageMaker Python](https://sagemaker.readthedocs.io/en/stable/) para executar trabalhos de treinamento remoto, também deve criar os seguintes endpoints da Amazon VPC.
+ AWS Security Token Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch:`com.amazonaws.region.logs`. Isso é necessário para permitir que o SageMaker Python SDK obtenha o status do trabalho de treinamento remoto de. Amazon CloudWatch
1. Se estiver usando o domínio no modo `VpcOnly` de uma rede on-premises, estabeleça conectividade privada a partir da rede do host que executa o Studio no navegador e na VPC da Amazon de destino. Isso é necessário porque a interface do usuário do Studio invoca AWS endpoints usando chamadas de API com credenciais temporárias. AWS Essas credenciais temporárias estão associadas ao perfil de execução do usuário conectado. Se o domínio estiver configurado no `VpcOnly` modo em uma rede local, a função de execução poderá definir condições de política do IAM que imponham a execução de chamadas de API de AWS serviço somente por meio dos endpoints Amazon VPC configurados. Isso faz com que as chamadas de API executadas a partir da interface do usuário do Studio falhem. Recomendamos resolver isso usando uma conexão do [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) ou do [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html).
**nota**
Para um cliente que trabalha no modo VPC, os firewalls da empresa podem causar problemas de conexão com o Studio ou as aplicações. Faça as seguintes verificações se você encontrar um desses problemas ao usar o Studio por trás de um firewall:
Verifique se o URL do Studio e URLs de todos os seus aplicativos estão na lista de permissões da sua rede. Por exemplo:
```
*.studio.region.sagemaker.aws
*.console.aws.a2z.com
```
Verifique se as conexões do websocket não estão bloqueadas. O Jupyter usa websockets.
**Para saber mais**
+ [Grupos de segurança para a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [Conecte-se à SageMaker IA em sua VPC](interface-vpc-endpoint.md)
+ [VPC com sub-redes públicas e privadas (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
# Conectar os cadernos do Studio em uma VPC para recursos externos
O tópico a seguir fornece informações sobre como conectar os cadernos do Studio em uma VPC para recursos externos.
## Comunicação padrão com a internet
Por padrão, o SageMaker Studio fornece uma interface de rede que permite a comunicação com a Internet por meio de uma VPC gerenciada pela SageMaker IA. O tráfego para AWS serviços, como Amazon S3 e CloudWatch, passa por um gateway de internet. O tráfego que acessa a SageMaker API e o tempo de execução da SageMaker IA também passa por um gateway de internet. O tráfego entre o domínio e o volume do Amazon EFS passa pela VPC que você identificou quando se integrou ao Studio ou chamou a API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) O diagrama a seguir mostra a configuração padrão.
![\[SageMaker Diagrama do Studio VPC mostrando o uso direto do acesso à Internet.\]](http://docs.aws.amazon.com/pt_br/sagemaker/latest/dg/images/studio/studio-vpc-internet.png)
## Comunicação da `VPC only` com a internet
Para impedir que a SageMaker IA forneça acesso à Internet aos seus notebooks Studio, desative o acesso à Internet especificando o tipo de acesso à `VPC only` rede. Especifique esse tipo de acesso à rede ao se [integrar ao Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) ou chamar a [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)API. Como resultado, não será possível executar um caderno do Studio, a menos que:
+ sua VPC tem um endpoint de interface para a SageMaker API e o tempo de execução, ou um gateway NAT com acesso à Internet
+ seus grupos de segurança permitam conexões de saída.
O diagrama a seguir mostra uma configuração para usar o modo somente VPC.
![\[SageMaker Diagrama do Studio VPC mostrando o uso do modo somente VPC.\]](http://docs.aws.amazon.com/pt_br/sagemaker/latest/dg/images/studio/studio-vpc-private.png)
### Requisitos para usar o modo `VPC only`
Quando você escolher `VpcOnly`, siga estas etapas:
1. Você deve usar somente sub-redes privadas. Você não pode usar sub-redes públicas no modo `VpcOnly`.
1. Certifique-se de que suas sub-redes tenham o número exigido de endereços IP necessários. O número esperado de endereços IP necessários por usuário pode variar de acordo com o caso de uso. Recomendamos entre 2 e 4 endereços IP por usuário. A capacidade total do endereço IP de um domínio do Studio é a soma dos endereços IP disponíveis para cada sub-rede fornecida quando o domínio é criado. Certifique-se de que o uso estimado de endereço IP não exceda a capacidade compatível com o número de sub-redes que você fornece. Além disso, o uso de sub-redes distribuídas em várias zonas de disponibilidade pode ajudar na disponibilidade de endereço IP. Para obter mais informações, consulte [Dimensionamento de VPC e sub-rede](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#vpc-sizing-ipv4) para. IPv4
**nota**
Você pode configurar somente sub-redes com uma VPC de locação padrão em que sua instância é executada em hardware compartilhado. Para obter mais informações sobre o atributo de locação para VPCs, consulte [Instâncias dedicadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).
1.
**Atenção**
Ao usar o modo `VpcOnly`, você possui parcialmente a configuração de rede do domínio. Recomendamos a melhor prática de segurança de aplicar permissões de privilégio mínimo ao acesso de entrada e saída que as regras do grupo de segurança fornecem. Configurações de regras de entrada excessivamente permissivas podem permitir que usuários com acesso à VPC interajam com as aplicações de outros perfis de usuário sem autenticação.
Configure um ou mais grupos de segurança com regras de entrada e saída que permitam o seguinte tráfego:
+ [Tráfego NFS via TCP na porta 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) entre o domínio e o volume do Amazon EFS.
+ [Tráfego TCP dentro do grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Isso é necessário para a conectividade entre a aplicação Jupyter Server e as aplicações Kernel Gateway. Você deve permitir o acesso pelo menos às portas no intervalo `8192-65535`.
Crie um grupo de segurança distinto para cada perfil de usuário e adicione acesso de entrada desse mesmo grupo de segurança. Não recomendamos reutilizar um grupo de segurança no nível de domínio para perfis de usuário. Se o grupo de segurança no nível de domínio permitir acesso de entrada para ele mesmo, todas as aplicações no domínio terão acesso a todas as outras aplicações no domínio.
1. Se você quiser permitir o acesso à Internet, deverá usar um [gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) com acesso à Internet, por exemplo, por meio de um [gateway da Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
1. Para remover o acesso à Internet, [crie uma interface VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) (AWS PrivateLink) para permitir que o Studio acesse os seguintes serviços com os nomes de serviço correspondentes. Você também deve associar os grupos de segurança da sua VPC a esses endpoints.
+ SageMaker API: `com.amazonaws.region.sagemaker.api`
+ SageMaker Tempo de execução da IA:`com.amazonaws.region.sagemaker.runtime`. Isso é necessário para executar cadernos Studio e para treinar e hospedar modelos.
+ Amazon S3: `com.amazonaws.region.s3`.
+ Para usar SageMaker projetos:`com.amazonaws.region.servicecatalog`.
+ Quaisquer outros AWS serviços de que você precise.
Se você usa o [SDK do SageMaker Python](https://sagemaker.readthedocs.io/en/stable/) para executar trabalhos de treinamento remoto, também deve criar os seguintes endpoints da Amazon VPC.
+ AWS Security Token Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch:`com.amazonaws.region.logs`. Isso é necessário para permitir que o SageMaker Python SDK obtenha o status do trabalho de treinamento remoto de. Amazon CloudWatch
**nota**
Para um cliente que trabalha no modo VPC, os firewalls da empresa podem causar problemas de conexão com o SageMaker Studio ou entre o. JupyterServer KernelGateway Faça as seguintes verificações se você se deparar com um desses problemas ao usar o SageMaker Studio por trás de um firewall.
Verifique se o URL do Studio está na lista de permissões da sua rede.
Verifique se as conexões do websocket não estão bloqueadas. O Jupyter usa um websocket dentro do sistema. Se o KernelGateway aplicativo estiver InService, JupyterServer talvez não consiga se conectar ao KernelGateway. Você também deve ver esse problema ao abrir o Terminal do Sistema.
**Para saber mais**
+ [Protegendo a conectividade do Amazon SageMaker Studio usando uma VPC privada](https://aws.amazon.com/blogs/machine-learning/securing-amazon-sagemaker-studio-connectivity-using-a-private-vpc).
+ [Grupos de segurança para a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
+ [Conecte-se à SageMaker IA em sua VPC](interface-vpc-endpoint.md)
+ [VPC com sub-redes públicas e privadas (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
# Conectar uma instância de caderno em uma VPC aos recursos externos
O tópico a seguir fornece informações sobre como conectar sua instância de caderno em uma VPC a recursos externos.
## Comunicação padrão com a internet
Quando seu notebook permite *acesso direto à Internet*, a SageMaker IA fornece uma interface de rede que permite que o notebook se comunique com a Internet por meio de uma VPC gerenciada pela SageMaker IA. O tráfego dentro do CIDR da VPC passará por meio da interface de rede elástica criada em sua VPC. Todo o outro tráfego passa pela interface de rede criada pela SageMaker IA, que é essencialmente pela Internet pública. O tráfego para os endpoints da VPC do gateway, como o Amazon S3 e o DynamoDB, passará pela Internet pública, enquanto o tráfego para os endpoints de interface da VPC ainda passará pela sua VPC. Se você quiser usar os endpoints da VPC do gateway, desabilite o acesso direto à Internet.
## Comunicação somente VPC com a internet
Para desativar o acesso direto à Internet, você pode especificar uma VPC para sua instância de caderno. Ao fazer isso, você impede que a SageMaker IA forneça acesso à Internet à sua instância do notebook. Como resultado, a instância de caderno não poderá treinar ou hospedar modelos, a menos que sua VPC tenha um endpoint de interface (AWS PrivateLink) ou um gateway NAT, e seus grupos de segurança permitam conexões de saída.
Para obter informações sobre como criar um endpoint de interface VPC AWS PrivateLink para usar em sua instância de notebook, consulte. [Conectar-se a uma instância de caderno por meio de um endpoint de interface VPC](notebook-interface-endpoint.md) Para obter informações sobre como configurar um gateway NAT para sua VPC, consulte [VPC com sub-redes pública e privada (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-example-private-subnets-nat.html) no *Guia do usuário da Amazon Virtual Private Cloud*. Para obter informações sobre grupos de segurança, consulte [Grupos de segurança para sua VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html). Para obter mais informações sobre configurações de rede em cada modo de rede e como configurar a rede no local, consulte Entendendo as configurações de rede de [instâncias de SageMaker notebooks e as opções avançadas de roteamento da Amazon](https://aws.amazon.com/blogs/machine-learning/understanding-amazon-sagemaker-notebook-instance-networking-configurations-and-advanced-routing-options/).
**Atenção**
Ao usar uma VPC para sua instância de caderno, a configuração de rede da instância pertence parcialmente a você. Como prática recomendada de segurança, sugerimos aplicar permissões de privilégio mínimo ao acesso de entrada e saída que você permite por meio de suas regras de grupo de segurança. Se você aplicar configurações de regras de entrada excessivamente permissivas, os usuários que tiverem acesso à sua VPC poderão acessar seus cadernos Jupyter sem se autenticarem.
## Instâncias de segurança e caderno compartilhadas
Uma instância de SageMaker notebook foi projetada para funcionar melhor para um usuário individual. Com ela, cientistas de dados e outros usuários potencializam o gerenciamento de seus ambientes de desenvolvimento.
Um usuário de instância de caderno tem acesso raiz para instalar pacotes e outros softwares pertinentes. Recomendamos atenção quando você for permitir que outras pessoas acessem as instâncias de caderno anexadas a uma VPC que contém informações confidenciais. Por exemplo, você pode conceder acesso a uma instância de caderno a um usuário com uma política do IAM que permita que ele crie um URL de caderno pré-assinado, como mostrado no seguinte exemplo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:notebook-instance/myNotebookInstance"
}
]
}
```
------