Ausführen von Trainings- und Inferenzcontainern in Internet-freier Modus - Amazon SageMaker
Netzwerkisolierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ausführen von Trainings- und Inferenzcontainern in Internet-freier Modus

SageMaker Trainings- und bereitgestellte Inferenzcontainer sind standardmäßig internetfähig. Auf diese Weise können Container im Rahmen Ihrer Trainings- und Inferenz-Workloads auf externe Services und Ressourcen im öffentlichen Internet zugreifen. Dies könnte jedoch eine Möglichkeit für den unbefugten Zugriff auf Ihre Daten bieten. So kann beispielsweise ein böswilliger Benutzer oder ein Schad-Code, den Sie versehentlich auf dem Container installiert haben (in Form einer öffentlich verfügbaren Quellcode-Bibliothek), auf Ihre Daten zugreifen und sie auf einen Remote-Host übertragen.

Wenn Sie eine Amazon VPC verwenden, indem Sie beim Aufruf von CreateTrainingJob, CreateHyperParameterTuningJob, oder CreateModel, einen Wert für den VpcConfig Parameter angeben, können Sie Ihre Daten und Ressourcen schützen, indem Sie Sicherheitsgruppen verwalten und den Internetzugriff von Ihrer VPC aus beschränken. Dies erfordert jedoch zusätzlichen Netzwerkkonfigurationen und birgt das Risiko, dass Sie Ihr Netzwerk nicht korrekt konfigurieren. Wenn Sie keinen externen Netzwerkzugriff auf Ihre Trainings- oder Inferenzcontainer gewähren möchten SageMaker , können Sie die Netzwerkisolierung aktivieren.

Netzwerkisolierung

Sie können die Netzwerkisolierung aktivieren, wenn Sie Ihren Trainingsauftrag oder Ihr Modell erstellen, indem Sie den Wert des EnableNetworkIsolation-Parameters auf True setzen, wenn Sie CreateTrainingJob, CreateHyperParameterTuningJob, oder CreateModel. aufrufen.

Anmerkung

Die Isolierung des Netzwerks ist erforderlich, um Trainingsaufträge und Modelle mit Ressourcen von AWS Marketplace auszuführen. Für zusätzliche Sicherheit werden AWS Marketplace Images in einer Amazon VPC ausgeführt. Sie haben nur Zugriff auf Daten in ihren lokalen Dateisystemen.

Wenn Sie die Netzwerkisolierung aktivieren, können die Container keine ausgehenden Netzwerkaufrufe tätigen, auch nicht an andere AWS Dienste wie Amazon S3. Darüber hinaus werden der Container-Laufzeitumgebung keine AWS Anmeldeinformationen zur Verfügung gestellt. Bei einem Trainingsjob mit mehreren Instanzen ist der eingehende und ausgehende Netzwerkverkehr auf die Peers der einzelnen Trainingscontainer beschränkt. SageMaker führt weiterhin Download- und Upload-Operationen für Amazon S3 durch, wobei Ihre SageMaker Ausführungsrolle unabhängig vom Trainings- oder Inferenzcontainer verwendet wird.

Die folgenden verwalteten SageMaker Container unterstützen keine Netzwerkisolierung, da sie Zugriff auf Amazon S3 benötigen:

  • Chainer

  • SageMaker Verstärkendes Lernen

Netzwerkisolierung mit einer VPC

Netzwerkisolierung kann in Verbindung mit einer VPC verwendet werden. In diesem Szenario wird der Download und Upload von Kundendaten und Modellartefakten über Ihr VPC-Subnetz geleitet. Beachten Sie jedoch, dass das Trainings- und Inferenzcontainer selbst weiterhin vom Netzwerk isoliert sind und keinen Zugriff auf Ressourcen innerhalb Ihrer VPC oder im Internet haben.