Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Conceder acceso a los trabajos de transformación por lotes a los recursos de su Amazon VPC
Para controlar el acceso a sus datos y trabajos de transformación por lotes, se recomienda crear una Amazon VPC privada y configurarla de manera que no se pueda obtener acceso a sus trabajos a través de Internet. Especifique la configuración de la VPC privada cuando cree un modelo especificando subredes y grupos de seguridad. A continuación, especifique el mismo modelo al crear un trabajo de transformación por lotes. Al especificar las subredes y los grupos de seguridad, SageMaker crea interfaces de red elásticas que se asocian a los grupos de seguridad de una de las subredes. Las interfaces de red permiten a sus contenedores de modelos conectarse a los recursos en la VPC. Para obtener más información sobre las interfaces de red, consulte Interfaces de red elásticas en la Guía del usuario de Amazon VPC.
En este documento se explica cómo agregar configuraciones de Amazon VPC para trabajos de transformación por lotes.
Configurar un trabajo de transformación por lotes para el acceso a Amazon VPC
Para especificar subredes y grupos de seguridad en su VPC privada, utilice VpcConfig el parámetro de solicitud de CreateModella API o proporcione esta información al crear un modelo en SageMaker la consola. A continuación, especifique el mismo modelo en el parámetro de ModelName solicitud de la CreateTransformJobAPI o en el campo Nombre del modelo al crear un trabajo de transformación en la SageMaker consola. SageMaker utiliza esta información para crear interfaces de red y adjuntarlas a los contenedores de modelos. Las interfaces de red proporcionan a sus contenedores de modelos una conexión de red en su VPC que no está conectada a Internet. También permiten a su trabajo de transformación conectarse a recursos en su VPC privada.
A continuación se muestra un ejemplo del parámetro VpcConfig incluido en su llamada a CreateModel:
VpcConfig: { "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] }
Si va a crear un modelo mediante la operación de la API CreateModel, el rol de ejecución de IAM que utilice para crear el modelo debe incluir los permisos que se describen en CreateModel API: permisos de rol de ejecución, incluidos los siguientes permisos necesarios para una VPC privada.
Al crear un modelo en la consola, si selecciona Crear un nuevo rol en la sección Configuración del modelo, la AmazonSageMakerFullAccess
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups"
Configure su VPC privada para la transformación por lotes SageMaker
Al configurar la VPC privada para sus trabajos de transformación SageMaker por lotes, siga las siguientes pautas. Para obtener información sobre la configuración de una VPC, consulte Working with VPCs and Subnets en la Guía del usuario de Amazon VPC.
Temas
- Cómo asegurar que las subredes dispongan de suficientes direcciones IP
- Crear un punto de conexión de VPC de Amazon S3
- Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3
- Configurar tablas de ruteo
- Configurar el grupo de seguridad de la VPC
- Conexión a recursos fuera de la VPC
Cómo asegurar que las subredes dispongan de suficientes direcciones IP
Las subredes de VPC deben disponer de al menos dos direcciones IP privadas para cada instancia en un trabajo de transformación. Para obtener más información, consulte PC and Subnet Sizing for IPv4 en la Guía del usuario de Amazon VPC.
Crear un punto de conexión de VPC de Amazon S3
Si configura la VPC de manera que los contenedores de modelos no dispongan de acceso a Internet, no se podrán conectar a los buckets de Amazon S3 que contienen sus datos a no ser que cree un punto de conexión de VPC que permita el acceso. Si crea un punto de enlace de la VPC, permite a los contenedores de modelo obtener acceso a los buckets en los que almacena los datos y los artefactos de modelos. Le recomendamos que también cree una política personalizada que permita solo solicitudes de su VPC privada para obtener acceso a sus buckets de S3. Para obtener más información, consulte Puntos de enlace para Amazon S3.
Para crear un punto de enlace de la VPC de S3:
-
Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/
. -
En el panel de navegación, elija Endpoints (Puntos de enlace) y, a continuación, elija Create Endpoint (Crear punto de enlace).
-
En Nombre del servicio, elija com.amazonaws.
region.s3, donderegiones el nombre de la región donde reside la VPC. -
En VPC, elija la VPC que desea usar para este punto de conexión.
-
En Configurar tablas de enrutamiento, seleccione las tablas de enrutamiento que debe usar el punto de conexión. El servicio de VPC añadirá automáticamente una ruta a cada tabla de ruteo que seleccione que dirige cualquier tráfico de S3 al nuevo punto de enlace.
-
En Policy (Política), elija Full Access (Acceso completo) para permitir acceso completo al servicio de S3 a cualquier usuario o servicio dentro de la VPC. Elija Personalizado para restringir el acceso más. Para obtener más información, consulte Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3.
Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3
La política de puntos de enlace predeterminada permite acceso completo a S3 a cualquier usuario o servicio de la VPC. Para restringir aún más el acceso a S3, cree una política de puntos de enlace personalizada. Para obtener más información, consulte Using Endpoint Policies for Amazon S3. También puede utilizar una política de bucket para restringir el acceso a los buckets de S3 a solo el tráfico que proceda de su Amazon VPC. Para obtener más información, consulte Using Amazon S3 Bucket Policies.
Restringir la instalación de paquetes en el contenedor de modelos
La política de punto de enlace predeterminada permite a los usuarios instalar paquetes desde los repositorios de Amazon Linux y Amazon Linux 2 en el paquete de capacitación. Si no desea que los usuarios instalen paquetes desde ese repositorio, cree una política de punto de enlace personalizada que deniegue de forma explícita el acceso a los repositorios de Amazon Linux y Amazon Linux 2. A continuación se muestra un ejemplo de una política que deniega el acceso a estos repositorios:
{ "Statement": [ { "Sid": "AmazonLinuxAMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::packages.*.amazonaws.com/*", "arn:aws:s3:::repo.*.amazonaws.com/*" ] } ] } { "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" ] } ] }
Configurar tablas de ruteo
Utilice la configuración de DNS predeterminada para su tabla de enrutamiento de punto de conexión, de manera que se resuelvan las URL de Amazon S3 estándar (por ejemplo, http://s3-aws-region.amazonaws.com/MyBucket). Si no utiliza la configuración de DNS predeterminada, asegúrese de que las URL que utiliza especifiquen las ubicaciones de los datos en su resolución de trabajos de transformación por lotes mediante la configuración de tablas de ruteo de punto de enlace. Para obtener información sobre las tablas de enrutamiento de punto de conexión de VPC, consulte Routing for Gateway Endpoints en la Guía del usuario de Amazon VPC.
Configurar el grupo de seguridad de la VPC
En la transformación por lotes distribuida, debe permitir la comunicación entre distintos contenedores en el mismo trabajo de transformación por lotes. Para ello, configure una regla para el grupo de seguridad que permita conexiones entrantes y salientes entre miembros del mismo grupo de seguridad. Los miembros del mismo grupo de seguridad deben poder comunicarse entre sí en todos los puertos. Para obtener más información, consulte Reglas del grupo de seguridad.
Conexión a recursos fuera de la VPC
Si configura la VPC de manera que no disponga de acceso a Internet, los trabajos de transformación por lotes que usan esa VPC no disponen de acceso a los recursos fuera de la VPC. Si sus trabajo de transformación por lotes precisa de acceso a recursos fuera de la VPC, proporcione acceso con una de las siguientes opciones:
-
Si su trabajo de transformación por lotes necesita acceder a un AWS servicio que admita puntos finales de VPC de interfaz, cree un punto final para conectarse a ese servicio. Para obtener una lista de servicios que admiten puntos de conexión de interfaz, consulte Puntos de conexión de VPC en la Guía del usuario de Amazon VPC. Para obtener información sobre la creación de un punto de enlace de VPC de interfaz, consulte Puntos de enlace de VPC de interfaz () en la Guía AWS PrivateLink del usuario de Amazon VPC.
-
Si su trabajo de transformación por lotes necesita acceder a un AWS servicio que no sea compatible con los puntos finales de la VPC de la interfaz o a un recurso externo AWS, cree una puerta de enlace NAT y configure los grupos de seguridad para permitir las conexiones salientes. Para obtener información sobre la configuración de una gateway NAT para su VPC, consulte Escenario 2: VPC con subredes públicas y privadas (NAT) en la Guía del usuario de Amazon Virtual Private Cloud.
