Geben Sie Inference Recommender Jobs Zugriff auf Ressourcen in Ihrem Amazon VPC

Anmerkung

Bei Inference Recommender müssen Sie Ihr Modell bei Model Registry registrieren. Beachten Sie, dass die Modellregistrierung nicht zulässt, dass Ihre Modellartefakte oder Ihr ECR Amazon-Image VPC eingeschränkt werden.

Inference Recommender setzt außerdem voraus, dass Ihr Amazon S3-Beispielnutzdatenobjekt keinen Beschränkungen unterliegt. VPC Für Jobs mit Inferenzempfehlungen können Sie keine benutzerdefinierte Richtlinie erstellen, die nur Anfragen von Ihren privaten Benutzern den VPC Zugriff auf Ihre Amazon S3 S3-Buckets ermöglicht.

Um Subnetze und Sicherheitsgruppen in Ihrem privaten Bereich anzugebenVPC, verwenden Sie den RecommendationJobVpcConfig Anforderungsparameter von oder geben Sie Ihre Subnetze und Sicherheitsgruppen an CreateInferenceRecommendationsJobAPI, wenn Sie einen Empfehlungsjob in der Konsole erstellen. SageMaker

Inference Recommender verwendet diese Informationen, um Endpunkte zu erstellen. SageMaker Erstellt bei der Bereitstellung von Endpunkten Netzwerkschnittstellen und fügt diese Ihren Endpunkten hinzu. Die Netzwerkschnittstellen bieten Ihren Endpunkten eine Netzwerkverbindung zu Ihrem. VPC Es folgt ein Beispiel für den Parameter VpcConfig, den Sie in einen Aufruf von CreateInferenceRecommendationsJob aufnehmen:

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }

In den folgenden Themen finden Sie weitere Informationen zur Konfiguration Ihres Amazon VPC für die Verwendung mit Inference Recommender-Jobs.

Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben

Ihre VPC Subnetze sollten mindestens zwei private IP-Adressen für jede Instance in einem Inferenzempfehlungsjob haben. Weitere Informationen zu Subnetzen und privaten IP-Adressen finden Sie unter So VPC funktioniert Amazon im VPCAmazon-Benutzerhandbuch.

Erstellen Sie einen Amazon S3 VPC S3-Endpunkt

Wenn Sie Ihren VPC so konfigurieren, dass der Zugriff auf das Internet blockiert wird, kann Inference Recommender keine Verbindung zu den Amazon S3 S3-Buckets herstellen, die Ihre Modelle enthalten, es sei denn, Sie erstellen einen VPC Endpunkt, der den Zugriff ermöglicht. Indem Sie einen VPC Endpunkt erstellen, ermöglichen Sie Ihren SageMaker Inferenzempfehlungsjobs den Zugriff auf die Buckets, in denen Sie Ihre Daten und Modellartefakte speichern.

Gehen Sie wie folgt vor, um einen Amazon S3 VPC S3-Endpunkt zu erstellen:

1. Öffnen Sie die VPCAmazon-Konsole.

2. Wählen Sie im Navigationsbereich Endpoints (Endpunkte) und anschließend Create Endpoint (Endpunkt erstellen) aus.

3. Suchen Sie unter Servicename nach dem Namen region der Regioncom.amazonaws.region.s3, in der Sie VPC ansässig sind.

4. Wählen Sie den Gateway-Typ.

5. Wählen Sie für die Option aus VPC, die VPC Sie für diesen Endpunkt verwenden möchten.

6. Für Configure route tables wählen Sie die Routing-Tabellen, die von dem Endpunkt verwendet werden sollen. Der VPC Service fügt jeder von Ihnen ausgewählten Routentabelle automatisch eine Route hinzu, die jeglichen Amazon S3 S3-Verkehr auf den neuen Endpunkt weiterleitet.

7. Wählen Sie unter Richtlinie die Option Vollzugriff, um allen Benutzern oder Diensten innerhalb von vollen Zugriff auf den Amazon S3 S3-Service zu gewährenVPC.

Fügen Sie Berechtigungen für Inference Recommender-Jobs, die in einem Amazon ausgeführt werdenVPC, zu benutzerdefinierten Richtlinien hinzu IAM

Die AmazonSageMakerFullAccess verwaltete Richtlinie umfasst die Berechtigungen, die Sie benötigen, um Modelle zu verwenden, die für Amazon VPC Access mit einem Endpunkt konfiguriert sind. Diese Berechtigungen ermöglichen es Inference Recommender, eine elastic network interface zu erstellen und sie an den Inferenzempfehlungsjob anzuhängen, der in einem Amazon ausgeführt wird. VPC Wenn Sie Ihre eigene IAM Richtlinie verwenden, müssen Sie dieser Richtlinie die folgenden Berechtigungen hinzufügen, um Modelle verwenden zu können, die für Amazon VPC Access konfiguriert sind.

{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}

Konfigurieren von Routing-Tabellen

Verwenden Sie die DNS Standardeinstellungen für Ihre Endpunkt-Routing-Tabelle, sodass die Standardlösung von Amazon S3 URLs (z. B.:http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) gelöst wird. Wenn Sie nicht die DNS Standardeinstellungen verwenden, stellen Sie sicher, URLs dass die, die Sie zur Angabe der Speicherorte der Daten in Ihrer Inferenzempfehlung verwenden, Jobs gelöst werden, indem Sie die Endpunkt-Routing-Tabellen konfigurieren. Informationen zu VPC Endpunkt-Routing-Tabellen finden Sie unter Routing Gateway-Endpoints im VPCAmazon-Benutzerhandbuch.

Konfigurieren Sie die VPC Sicherheitsgruppe

In Ihrer Sicherheitsgruppe für den Inferenzempfehlungsjob müssen Sie ausgehende Kommunikation zu Ihren Amazon S3 VPC S3-Endpunkten und den für den Inferenzempfehlungsjob verwendeten CIDR Subnetzbereichen zulassen. Weitere Informationen finden Sie unter Regeln für Sicherheitsgruppen und Zugriffskontrolle auf Dienste mit VPC Amazon-Endpunkten im VPCAmazon-Benutzerhandbuch.