Conceder a los trabajos del recomendador de inferencias acceso a los recursos de su Amazon VPC

nota

El recomendador de inferencias requiere que registre su modelo en el registro de modelos. Tenga en cuenta que el registro de modelos no permite que los artefactos de su modelo o la imagen de Amazon ECR estén restringidos por VPC.

El recomendador de inferencias también exige que su objeto de Amazon S3 de carga de muestra no esté restringido por VPC. Se recomienda crear también una política personalizada que permita solo a las solicitudes de su VPC privada obtener acceso a sus buckets de S3.

Para especificar subredes y grupos de seguridad en su VPC privada, utilice RecommendationJobVpcConfig el parámetro de solicitud de CreateInferenceRecommendationsJobla API o especifique las subredes y los grupos de seguridad al crear un trabajo de recomendación en la consola. SageMaker

El recomendador de inferencias utiliza esta información para crear puntos de conexión. Al aprovisionar puntos de conexión, SageMaker crea interfaces de red y las conecta a sus puntos de conexión. Las interfaces de red proporcionan a sus puntos de conexión una conexión de red a su VPC. A continuación se muestra un ejemplo del parámetro VpcConfig incluido en una llamada a CreateInferenceRecommendationsJob:

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }

Consulte los siguientes temas para obtener más información sobre cómo configurar su Amazon VPC para su uso con trabajos del recomendador de inferencias.

Garantía de que las subredes disponen de direcciones IP suficientes

Las subredes de VPC deben disponer de al menos dos direcciones IP privadas para cada instancia en un trabajo del recomendador de inferencias. Para obtener más información sobre las subredes y las direcciones IP privadas, consulte Cómo funciona Amazon VPC en la Guía del usuario de Amazon VPC.

Crear un punto de conexión de VPC de Amazon S3

Si configura la VPC para bloquear el acceso a Internet, el recomendador de inferencias no se podrá conectar a los buckets de Amazon S3 que contienen sus modelos a no ser que cree un punto de conexión de VPC que permita el acceso. Al crear un punto final de VPC, permite que sus trabajos de recomendación de SageMaker inferencias accedan a los depósitos en los que almacena sus datos y modela los artefactos.

Para crear un punto de conexión de VPC de Amazon S3, utilice el siguiente procedimiento:

1. Abra la Consola de Amazon VPC.

2. En el panel de navegación, elija Endpoints (Puntos de enlace) y, a continuación, elija Create Endpoint (Crear punto de enlace).

3. En Nombre del servicio, busque, com.amazonaws.region.s3 donde region es el nombre de la región donde reside la VPC.

4. Elija el Tipo de puerta de enlace.

5. En VPC, elija la VPC que desea usar para este punto de conexión.

6. En Configurar tablas de enrutamiento, seleccione las tablas de enrutamiento que debe usar el punto de conexión. El servicio de VPC agregará automáticamente una ruta a cada tabla de enrutamiento que seleccione que dirige el tráfico de Amazon S3 al nuevo punto de conexión.

7. En Política, elija Acceso completo para permitir acceso completo al servicio de Amazon S3 a cualquier usuario o servicio dentro de la VPC.

Agregar permisos para trabajos del recomendador de inferencias que se ejecutan en una Amazon VPC a las políticas de IAM personalizadas

La política administrada AmazonSageMakerFullAccess incluye los permisos que necesita para usar modelos configurados para el acceso a Amazon VPC con un punto de conexión. Estos permisos permiten al recomendador de inferencias crear una interfaz de red elástica y asociarla al trabajo de recomendación de inferencias que se ejecuta en una Amazon VPC. Si usa su propia política de IAM, debe agregar los siguientes permisos a esa política para usar modelos configurados para el acceso a Amazon VPC.

{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}

Configurar tablas de enrutamiento

Utilice la configuración de DNS predeterminada para su tabla de enrutamiento de punto de conexión, de manera que se resuelvan las URL de Amazon S3 estándar (por ejemplo, http://s3-aws-region.amazonaws.com/MyBucket). Si no utiliza la configuración de DNS predeterminada, asegúrese de que las URL que utiliza especifiquen las ubicaciones de los datos en sus trabajos de recomendación de inferencias se resuelven mediante la configuración de tablas de enrutamiento de punto de conexión. Para obtener información sobre las tablas de enrutamiento de punto de conexión de VPC, consulte Routing gateway endpoints en la Guía del usuario de Amazon VPC.

Configurar el grupo de seguridad de la VPC

En su grupo de seguridad para el trabajo de recomendación de inferencias, debe permitir la comunicación saliente con los puntos de conexión de VPC de Amazon S3 y los rangos de CIDR de subred utilizados para el trabajo de recomendación de inferencias. Para obtener más información, consulte Reglas del grupo de seguridad y Control access to services with Amazon VPC endpoints en la Guía del usuario de Amazon VPC.