Ein Modell für Amazon VPC Access konfigurieren Konfigurieren Sie Ihr Privatkonto VPC für das Hosting SageMaker

Geben Sie SageMaker gehosteten Endpunkten Zugriff auf Ressourcen in Ihrem Amazon VPC

Ein Modell für Amazon VPC Access konfigurieren

Um Subnetze und Sicherheitsgruppen in Ihrem privaten Bereich anzugebenVPC, verwenden Sie den VpcConfig Anforderungsparameter von oder geben Sie diese Informationen an CreateModelAPI, wenn Sie ein Modell in der SageMaker Konsole erstellen. SageMaker verwendet diese Informationen, um Netzwerkschnittstellen zu erstellen und sie an Ihre Modellcontainer anzuhängen. Die Netzwerkschnittstellen stellen Ihren Modellcontainern eine Netzwerkverbindung innerhalb Ihres Containers zur VerfügungVPC, die nicht mit dem Internet verbunden ist. Sie ermöglichen es Ihrem Modell auch, eine Verbindung zu privaten Ressourcen herzustellenVPC.

Anmerkung

Sie müssen mindestens zwei Subnetze in verschiedenen Availability Zones in Ihrem privaten Bereich erstellenVPC, auch wenn Sie nur eine Hosting-Instanz haben.

Im Folgenden sehen Sie ein Beispiel des Parameters VpcConfig, den Sie in Ihrem Aufruf zu CreateModel hinzufügen:


VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }

Konfigurieren Sie Ihr Privatkonto VPC für das Hosting SageMaker

Beachten Sie bei der Konfiguration von Private VPC für Ihre SageMaker Modelle die folgenden Richtlinien. Informationen zur Einrichtung von finden Sie unter Arbeiten mit VPCs und Subnetzen im VPCAmazon-Benutzerhandbuch. VPC

Themen

Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben
Erstellen Sie einen Amazon S3 VPC S3-Endpunkt
Verwenden Sie eine benutzerdefinierte Endpunktrichtlinie, um den Zugriff auf Amazon S3 einzuschränken
Fügen Sie den benutzerdefinierten IAM Richtlinien Berechtigungen für den Endpunktzugriff für Container hinzuVPC, die in a ausgeführt werden
Konfigurieren der Routing-Tabellen
Connect zu Ressourcen außerhalb Ihres her VPC

Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben

Trainingsinstanzen, die keinen Elastic Fabric Adapter (EFA) verwenden, sollten mindestens 2 private IP-Adressen haben. Trainingsinstanzen, die einen verwenden, EFA sollten mindestens 5 private IP-Adressen haben. Weitere Informationen finden Sie unter Mehrere IP-Adressen im EC2 Amazon-Benutzerhandbuch.

Erstellen Sie einen Amazon S3 VPC S3-Endpunkt

Wenn Sie Ihre VPC so konfigurieren, dass Modellcontainer keinen Zugriff auf das Internet haben, können sie keine Verbindung zu den Amazon S3 S3-Buckets herstellen, die Ihre Daten enthalten, es sei denn, Sie erstellen einen VPC Endpunkt, der den Zugriff ermöglicht. Indem Sie einen VPC Endpunkt erstellen, ermöglichen Sie Ihren Modellcontainern den Zugriff auf die Buckets, in denen Sie Ihre Daten und Modellartefakte speichern. Wir empfehlen Ihnen, auch eine benutzerdefinierte Richtlinie zu erstellen, die nur Anfragen von Ihrem privaten Benutzer den VPC Zugriff auf Ihre S3-Buckets ermöglicht. Weitere Informationen finden Sie unter Endpunkte für Amazon S3.

So erstellen Sie einen Amazon S3 VPC S3-Endpunkt:

Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.
Wählen Sie im Navigationsbereich Endpoints (Endpunkte) und anschließend Create Endpoint (Endpunkt erstellen) aus.
Wählen Sie für Service Name die Option com.amazonaws aus.region.s3, wo region ist der Name der AWS Region, in der Sie VPC wohnen.
Wählen Sie für die aus VPCVPC, die Sie für diesen Endpunkt verwenden möchten.
Wählen Sie unter Routing-Tabellen konfigurieren die zu verwendenden Routing-Tabellen für den Endpunkt aus. Der VPC Service fügt jeder von Ihnen ausgewählten Routentabelle automatisch eine Route hinzu, die den Amazon S3 S3-Verkehr auf den neuen Endpunkt weiterleitet.
Wählen Sie unter Richtlinie die Option Vollzugriff, um allen Benutzern oder Diensten innerhalb von vollen Zugriff auf den Amazon S3 S3-Service zu gewährenVPC. Wählen Sie Custom (Benutzerdefiniert) aus, um den Zugriff weiter einzuschränken. Weitere Informationen finden Sie unter Verwenden Sie eine benutzerdefinierte Endpunktrichtlinie, um den Zugriff auf Amazon S3 einzuschränken.

Verwenden Sie eine benutzerdefinierte Endpunktrichtlinie, um den Zugriff auf Amazon S3 einzuschränken

Die standardmäßige Endpunktrichtlinie ermöglicht vollen Zugriff auf Amazon Simple Storage Service (Amazon S3) für jeden Benutzer oder Dienst in IhremVPC. Um den Zugriff auf Amazon S3 weiter einzuschränken, erstellen Sie eine benutzerdefinierte Endpunktrichtlinie. Weitere Informationen finden Sie unter Verwendung von Endpunktrichtlinien für Amazon S3.

Sie können auch eine Bucket-Richtlinie verwenden, um den Zugriff auf Ihre S3-Buckets auf den Datenverkehr zu beschränken, der von Ihrem Amazon VPC stammt. Weitere Informationen finden Sie unter Verwendung von Amazon S3 Bucket Richtlinien.

Einschränken der Paketinstallation im Modellcontainer mit einer benutzerdefinierten Endpunktrichtlinie

Mit der Standardrichtlinie für Endpunkte können Benutzer Pakete aus den Amazon Linux- und Amazon Linux-2-Repositorys auf dem Modellcontainer installieren. Wenn Sie nicht möchten, dass Benutzer Pakete von diesen Repositorys installieren, erstellen Sie eine benutzerdefinierte Endpunktrichtlinie, die ausdrücklich den Zugriff auf die Amazon Linux- und Amazon Linux-2-Repositorys verweigert. Nachfolgend finden Sie eine Beispielrichtlinie, die den Zugriff auf diese Repositorys verweigert:


{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

Fügen Sie den benutzerdefinierten IAM Richtlinien Berechtigungen für den Endpunktzugriff für Container hinzuVPC, die in a ausgeführt werden

Die SageMakerFullAccess verwaltete Richtlinie umfasst die Berechtigungen, die Sie benötigen, um Modelle zu verwenden, die für Amazon VPC Access mit einem Endpunkt konfiguriert sind. Diese Berechtigungen ermöglichen es SageMaker , eine elastic network interface zu erstellen und sie an Modellcontainer anzuhängen, die in einem ausgeführt VPC werden. Wenn Sie Ihre eigene IAM Richtlinie verwenden, müssen Sie dieser Richtlinie die folgenden Berechtigungen hinzufügen, um Modelle verwenden zu können, die für VPC den Zugriff konfiguriert sind.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface"
            ],
            "Resource": "*"
        }
    ]
}

Weitere Informationen über die verwalteten SageMakerFullAccess-Richtlinie finden Sie unter AWS verwaltete Richtlinie: AmazonSageMakerFullAccess.

Konfigurieren der Routing-Tabellen

Verwenden Sie die DNS Standardeinstellungen für Ihre Endpunkt-Routing-Tabelle, sodass die Standardlösung von Amazon S3 URLs (z. B.http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) funktioniert. Wenn Sie keine DNS Standardeinstellungen verwenden, stellen Sie sicher, URLs dass die, die Sie zur Angabe der Speicherorte der Daten in Ihren Modellen verwenden, aufgelöst werden, indem Sie die Endpunkt-Routing-Tabellen konfigurieren. Informationen zu VPC Endpunkt-Routing-Tabellen finden Sie unter Routing für Gateway-Endpunkte im VPCAmazon-Benutzerhandbuch.

Connect zu Ressourcen außerhalb Ihres her VPC

Wenn Sie Ihr Gerät VPC so konfigurieren, dass es keinen Internetzugang hat, haben Modelle, die das verwenden, VPC keinen Zugriff auf Ressourcen außerhalb IhresVPC. Wenn Ihr Modell Zugriff auf Ressourcen außerhalb Ihres benötigtVPC, bieten Sie eine der folgenden Optionen für den Zugriff an:

Wenn Ihr Modell Zugriff auf einen AWS Dienst benötigt, der VPC Schnittstellenendpunkte unterstützt, erstellen Sie einen Endpunkt, um eine Verbindung zu diesem Dienst herzustellen. Eine Liste der Dienste, die Schnittstellenendpunkte unterstützen, finden Sie unter VPCEndpoints im VPCAmazon-Benutzerhandbuch. Informationen zum Erstellen eines VPC Schnittstellenendpunkts finden Sie unter Interface VPC Endpoints (AWS PrivateLink) im VPCAmazon-Benutzerhandbuch.
Wenn Ihr Modell Zugriff auf einen AWS Service benötigt, der keine VPC Schnittstellenendpunkte unterstützt, oder auf eine Ressource außerhalb von AWS, erstellen Sie ein NAT Gateway und konfigurieren Sie Ihre Sicherheitsgruppen so, dass ausgehende Verbindungen zugelassen werden. Informationen zur Einrichtung eines NAT Gateways für Ihr VPC finden Sie unter Szenario 2: VPC mit öffentlichen und privaten Subnetzen (NAT) im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Geben Sie SageMaker Schulungsjobs Zugriff auf Ressourcen in Ihrem Amazon VPC

Geben Sie Batch Transform Jobs Zugriff auf Ressourcen in Ihrem Amazon VPC