Conéctese a SageMaker dentro de su VPC

Puede conectarse directamente a la SageMaker API o a Amazon SageMaker Runtime a través de un punto de enlace de interfaz en su nube privada virtual (VPC) en lugar de conectarse a través de Internet. Cuando utiliza un punto final de interfaz de VPC, la comunicación entre su VPC y la SageMaker API o el tiempo de ejecución se lleva a cabo de forma completa y segura dentro de una red. AWS

Conéctese a SageMaker través de un punto final de interfaz de VPC

La SageMaker API y el SageMaker tiempo de ejecución son compatibles con los puntos de enlace de la interfaz Amazon Virtual Private Cloud (Amazon VPC) que funcionan con la tecnología. AWS PrivateLink Cada punto de conexión de VPC está representado por una o varias interfaces de red elástica con direcciones IP privadas en las subredes de la VPC. Por ejemplo, una aplicación de la VPC se utiliza AWS PrivateLink para comunicarse con SageMaker Runtime. SageMakerEl tiempo de ejecución, a su vez, se comunica con el SageMaker punto final. AWS PrivateLinkEl uso le permite invocar su SageMaker punto final desde su VPC, como se muestra en el siguiente diagrama.

El punto final de la interfaz de la VPC conecta la VPC directamente a la SageMaker API o al entorno de SageMaker ejecución AWS PrivateLink sin utilizar una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. AWS Direct Connect Las instancias de su VPC no necesitan conectarse a la Internet pública para comunicarse con la SageMaker API o SageMaker el entorno de ejecución.

Puedes crear un punto final de AWS PrivateLink interfaz para conectarte a SageMaker Runtime SageMaker o a él mediante AWS Management Console o AWS Command Line Interface (AWS CLI). Para obtener instrucciones, consulte Acceder a un AWS servicio mediante un punto final de VPC de interfaz.

Si no ha habilitado un nombre de host del Sistema de nombres de dominio (DNS) privado para su punto de enlace de VPC, después de crear un punto de enlace de VPC, especifique la URL del punto de conexión de Internet a la API o al SageMaker tiempo de ejecución. SageMaker A continuación, se muestra un ejemplo de código que utiliza comandos de la AWS CLI para especificar el parámetro endpoint-url.

aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com  \
    --endpoint-name Endpoint_Name \
    --body "Endpoint_Body" \
    --content-type "Content_Type" \
            Output_File

Si habilita los nombres de host de DNS privados para su punto de conexión de VPC, no es necesario que especifique la URL del punto de conexión porque es nombre de host predeterminado (https://api.sagemaker.región.amazon.com) se resuelve a su punto de conexión de VPC. Del mismo modo, el nombre de host DNS predeterminado en SageMaker tiempo de ejecución (https://runtime.sagemaker). La región (.amazonaws.com) también se resuelve en tu punto de enlace de VPC.

La SageMaker API y el SageMaker tiempo de ejecución admiten puntos de enlace de VPC en todos los lugares donde Amazon Regiones de AWS VPC y Amazon estén disponibles. SageMaker SageMaker admite realizar llamadas a todas las que están Operationsdentro de su VPC. Si usa el AuthorizedUrl desde CreatePresignedNotebookInstanceUrlcomando, su tráfico pasará por la red pública de Internet. No solo puedes usar un punto final de VPC para acceder a la URL prefirmada, sino que la solicitud debe pasar por la puerta de enlace de Internet.

De forma predeterminada, los usuarios pueden compartir la URL prefirmada con personas ajenas a la red corporativa. Para mayor seguridad, debe añadir permisos de IAM para restringir que la URL solo se pueda utilizar dentro de su red. Para obtener información sobre los permisos de IAM, consulte Cómo AWS PrivateLink funciona con IAM.

nota

Al configurar un punto final de la interfaz de VPC para el servicio SageMaker Runtime (https://runtime.sagemaker. Region.amazonaws.com), debe asegurarse de que el punto final de la interfaz de VPC esté activado en la zona de disponibilidad de su cliente para que funcione la resolución de DNS privado. De lo contrario, es posible que se produzcan errores de DNS al intentar resolver la URL.

Para obtener más información sobre AWS PrivateLink, consulte la documentación de AWS PrivateLink. Consulte Precios de AWS PrivateLink para conocer el precio de los puntos de conexión de VPC. Para obtener más información sobre la VPC y los puntos de enlace, visite Amazon VPC. Para obtener información sobre cómo utilizar las AWS Identity and Access Management políticas basadas en la identidad para restringir el acceso a la API y al entorno de ejecución, consulte. SageMaker SageMaker Controle el acceso a la SageMaker API mediante políticas basadas en la identidad

Uso de la SageMaker formación y el alojamiento con recursos dentro de su VPC

SageMaker utiliza su función de ejecución para descargar y cargar información desde un bucket de Amazon S3 y Amazon Elastic Container Registry (Amazon ECR), de forma aislada de su contenedor de entrenamiento o inferencia. Si tiene recursos que se encuentran dentro de su VPC, aún puede conceder SageMaker acceso a esos recursos. En las siguientes secciones se explica cómo hacer que sus recursos estén disponibles SageMaker con o sin aislamiento de red.

Sin aislamiento de redes habilitado

Si no ha establecido el aislamiento de la red en su trabajo o modelo de formación, SageMaker puede acceder a los recursos mediante uno de los siguientes métodos.

• SageMaker Los contenedores de inferencia de formación e implementados pueden acceder a Internet de forma predeterminada. SageMaker los contenedores pueden acceder a servicios y recursos externos en la Internet pública como parte de sus cargas de trabajo de formación e inferencia. SageMaker los contenedores no pueden acceder a los recursos de la VPC sin una configuración de VPC, como se muestra en la siguiente ilustración.

  

• Utilice una configuración de VPC para comunicarse con los recursos de su VPC mediante una interfaz de red elástica (ENI). La comunicación entre el contenedor y los recursos de la VPC se lleva a cabo de forma segura dentro de la red de VPC, como se muestra en la siguiente ilustración. En este caso, usted administra el acceso de red a los recursos de su VPC e Internet.

  

Con aislamiento de redes

Si emplea el aislamiento de red, el SageMaker contenedor no puede comunicarse con los recursos de la VPC ni realizar llamadas de red, como se muestra en la siguiente ilustración. Si proporciona una configuración de VPC, las operaciones de descarga y carga se ejecutarán a través de su VPC. Para obtener más información sobre el alojamiento y el entrenamiento con aislamiento de redes mientras se utiliza una VPC, consulte Aislamiento de red.

Cree una política de puntos de conexión de VPC para SageMaker

Puede crear una política para los puntos de enlace de Amazon VPC SageMaker para especificar lo siguiente:

• La entidad principal que puede realizar acciones.

• Las acciones que se pueden realizar.

• Los recursos en los que se pueden llevar a cabo las acciones.

Para obtener más información, consulte Controlar el acceso a servicios con puntos de conexión de VPC en la Guía del usuario de Amazon VPC.

nota

Las políticas de puntos finales de VPC no son compatibles con los puntos de enlace de tiempo de SageMaker ejecución del Estándar Federal de Procesamiento de Información (FIPS). runtime_InvokeEndpoint

El siguiente ejemplo de política de punto final de VPC especifica que todos los usuarios que tienen acceso al punto final de la interfaz de VPC pueden invocar el punto final hospedado denominado. SageMaker myEndpoint

{
  "Statement": [
      {
          "Action": "sagemaker:InvokeEndpoint",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
          "Principal": "*"
      }
  ]
}

En este ejemplo, los siguientes se deniegan:

• Otras acciones SageMaker de la API, como y. sagemaker:CreateEndpoint sagemaker:CreateTrainingJob

• Invocar puntos de enlace SageMaker alojados distintos de. myEndpoint

nota

En este ejemplo, los usuarios pueden seguir realizando otras acciones de SageMaker API desde fuera de la VPC. Para obtener información acerca de cómo restringir las llamadas a la API a estos desde la VPC, consulte Controle el acceso a la SageMaker API mediante políticas basadas en la identidad.

Cree una política de puntos de conexión de VPC para Amazon Feature Store SageMaker

Para crear un punto de enlace de VPC para Amazon SageMaker Feature Store, utilice la siguiente plantilla de punto de enlace y sustituya su VPC_Endpoint_ID.api y su región:

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

Conexión de su red privada a su VPC

Para llamar a la SageMaker API y al tiempo de SageMaker ejecución a través de su VPC, debe conectarse desde una instancia que esté dentro de la VPC o conectar su red privada a su VPC mediante un () o. AWS Virtual Private Network AWS VPN AWS Direct Connect Para obtener más información acerca de AWS VPN, consulte las conexiones de VPN en la Guía del usuario de Amazon Virtual Private Cloud. Para obtener información acerca de AWS Direct Connect, consulte Creating a Connection en la Guía del usuario de AWS Direct Connect.