Geben Sie SageMaker Kompilierungsaufträgen Zugriff auf Ressourcen in Ihrer Amazon VPC - Amazon SageMaker
Konfigurieren Sie einen Kompilierungsauftrag für Amazon VPC AccessKonfigurieren Sie Ihre private VPC für SageMaker die Kompilierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Geben Sie SageMaker Kompilierungsaufträgen Zugriff auf Ressourcen in Ihrer Amazon VPC

Anmerkung

Für Kompilierungsaufträge können Sie nur Subnetze mit einer Standard-VPC konfigurieren, in denen Ihr Auftrag auf gemeinsam genutzter Hardware läuft. Weitere Informationen zum Tenancy-Attribut für VPCs finden Sie unter Dedicated Instances.

Konfigurieren Sie einen Kompilierungsauftrag für Amazon VPC Access

Um Subnetze und Sicherheitsgruppen in Ihrer privaten VPC anzugeben, verwenden Sie den VpcConfig Anforderungsparameter der CreateCompilationJobAPI oder geben Sie diese Informationen an, wenn Sie einen Kompilierungsauftrag in der SageMaker Konsole erstellen. SageMaker Neo verwendet diese Informationen, um Netzwerkschnittstellen zu erstellen und sie an Ihre Kompilierungsjobs anzuhängen. Die Netzwerkschnittstellen bieten Kompilierungsaufträge mit einer Netzwerkverbindung innerhalb Ihrer VPC, die nicht mit dem Internet verbunden ist. Sie ermöglichen es Ihrem Kompilierungsauftrag auch, sich mit Ressourcen in Ihrer privaten VPC zu verbinden. Im Folgenden sehen Sie ein Beispiel des Parameters VpcConfig, den Sie in Ihrem Aufruf zu CreateCompilationJob hinzufügen:

VpcConfig: {"Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

Konfigurieren Sie Ihre private VPC für SageMaker die Kompilierung

Beachten Sie bei der Konfiguration der privaten VPC für Ihre SageMaker Kompilierungsjobs die folgenden Richtlinien. Informationen zum Einrichten einer VPC finden Sie unter Arbeiten mit VPCs und Subnetzen im Amazon VPC Benutzerhandbuch.

Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben

Ihre VPC-Subnetze sollten mindestens zwei private IP-Adressen für jede Instance in einem Kompilierungsauftrag haben. Weitere Informationen finden Sie unter Dimensionierung der VPC und der Subnetze für IPv4 im Amazon VPC Benutzerhandbuch.

Erstellen eines Amazon S3 VPC-Endpunkts

Wenn Sie Ihre VPC so konfigurieren, dass sie den Zugriff auf das Internet blockiert, kann SageMaker Neo keine Verbindung zu den Amazon S3 S3-Buckets herstellen, die Ihre Modelle enthalten, es sei denn, Sie erstellen einen VPC-Endpunkt, der den Zugriff ermöglicht. Indem Sie einen VPC-Endpunkt erstellen, ermöglichen Sie Ihren SageMaker Neo-Kompilierungsjobs den Zugriff auf die Buckets, in denen Sie Ihre Daten und Modellartefakte speichern. Wir empfehlen, dass Sie auch eine benutzerdefinierte Richtlinie erstellen, die nur Anforderungen von Ihrer privaten VPC erlaubt, auf Ihre S3-Buckets zuzugreifen. Weitere Informationen finden Sie unter Endpunkte für Amazon S3.

So erstellen Sie einen S3-VPC-Endpunkt:

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpoints (Endpunkte) und anschließend Create Endpoint (Endpunkt erstellen) aus.

  3. Suchen Sie bei Service Name nach com.amazonaws.region.s3, wobei region der Name der Region ist, in der sich Ihr VPC befindet.

  4. Wählen Sie den Gateway-Typ.

  5. Wählen Sie unter VPC die VPC aus, die Sie für diesen Endpunkt verwenden möchten.

  6. Für Configure route tables wählen Sie die Routing-Tabellen, die von dem Endpunkt verwendet werden sollen. Der VPC-Service fügt automatisch jeder von Ihnen ausgewählten Routing-Tabelle eine Route hinzu, über die der S3-Datenverkehr an den neuen Endpunkt geleitet wird.

  7. Wählen Sie unter Policy (Richtlinie) die Option Full Access (Vollzugriff) aus. So gewähren Sie allen Benutzern und Services innerhalb der VPC Vollzugriff auf den S3-Service. Wählen Sie Custom (Benutzerdefiniert) aus, um den Zugriff weiter einzuschränken. Weitere Informationen finden Sie unter Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3.

Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3

Standardmäßig wird über die Endpunktrichtlinie allen Benutzern oder Services in Ihrer VPC Vollzugriff auf S3 gewährt. Um den Zugriff auf S3 einzuschränken, erstellen Sie eine benutzerdefinierte Endpunktrichtlinie. Weitere Informationen finden Sie unter Verwendung von Endpunktrichtlinien für Amazon S3. Sie können auch eine Bucket-Richtlinie verwenden, um den Zugriff auf Ihre S3-Buckets auf den Datenverkehr zu beschränken, der von Ihrer Amazon VPC kommt. Weitere Informationen finden Sie unter Verwendung von Amazon S3 Bucket-Richtlinien. Im Folgenden finden Sie ein Beispiel für eine maßgeschneiderte Richtlinie:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::your-sample-bucket",
                "arn:aws:s3:::your-sample-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "aws:SourceVpce": [
                        "vpce-01234567890123456"
                    ]
                }
            }
        }
    ]
}

Hinzufügen von Berechtigungen für Kompilierungsaufträge, die in einer Amazon VPC ausgeführt werden, zu benutzerdefinierten IAM-Richtlinien

Die verwaltete Richtlinie von SageMakerFullAccess enthält die Berechtigungen, die Sie für die Verwendung von Modellen benötigen, die für den Amazon VPC-Zugriff mit einem Endpunkt konfiguriert sind. Diese Berechtigungen ermöglichen es SageMaker Neo, eine elastic network interface zu erstellen und sie an einen Kompilierungsjob anzuhängen, der in einer Amazon VPC ausgeführt wird. Wenn Sie Ihre eigene IAM-Richtlinie verwenden, müssen Sie die folgenden Berechtigungen zu dieser Richtlinie hinzufügen, um für den Amazon VPC-Zugriff konfigurierte Modelle zu verwenden.

{"Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}

Weitere Informationen über die verwalteten SageMakerFullAccess-Richtlinie finden Sie unter AWS verwaltete Richtlinie: AmazonSageMakerFullAccess.

Konfigurieren der Routing-Tabellen

Verwenden Sie Standard-DNS-Einstellungen für Ihre Endpunkt-Routentabelle, so dass Standard-URLs von Amazon S3 (z. B. http://s3-aws-region.amazonaws.com/MyBucket) aufgelöst werden. Wenn Sie keine Standard-DNS-Einstellungen verwenden, stellen Sie sicher, dass die URLs, die Sie zur Angabe der Speicherorte der Daten in Ihren Kompilierungsaufträgen verwenden, aufgelöst werden, indem Sie die Endpunkt-Routentabellen konfigurieren. Informationen über Routing-Tabellen für VPC-Endpunkte finden Sie unter Routing für Gateway-Endpunkte im Amazon VPC Benutzerhandbuch.

Konfigurieren der VPC-Sicherheitsgruppe

In Ihrer Sicherheitsgruppe für den Kompilierungsauftrag müssen Sie ausgehende Kommunikation zu Ihren Amazon S3 Amazon VPC-Endpunkten und den für den Kompilierungsauftrag verwendeten Subnetz-CIDR-Bereichen zulassen. Weitere Informationen finden Sie unter Regeln für Sicherheitsgruppen und Zugriffskontrolle auf Services mit Amazon VPC-Endpunkten.