Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
SageMaker El entrenamiento de IA y los contenedores de inferencia implementados están habilitados para Internet de forma predeterminada. Esto permite a los contenedores acceder a servicios externos y recursos en la red de Internet pública como parte de sus cargas de trabajo de capacitación e inferencia. Sin embargo, esto podría proporcionar una vía de acceso no autorizado a los datos. Por ejemplo, un código o usuario maliciosos que instale accidentalmente en el contenedor (en forma de biblioteca de código fuente a disposición del público en general) podría acceder a sus datos y transferirlos a un host remoto.
Si utiliza una Amazon VPC especificando un valor para el parámetro VpcConfig cuando llama a CreateTrainingJob, CreateHyperParameterTuningJob o CreateModel, puede proteger sus datos y recursos mediante la administración de los grupos de seguridad y la limitación del acceso a Internet desde su VPC. Sin embargo, esto se hace a expensas de una configuración de red adicional y conlleva el riesgo de que la red se configure de forma incorrecta. Si no desea que la SageMaker IA proporcione acceso a una red externa a sus contenedores de formación o inferencia, puede habilitar el aislamiento de la red.
Aislamiento de red
Puede habilitar el aislamiento de redes al crear su trabajo o modelo de entrenamiento si configura el valor del parámetro EnableNetworkIsolation en True cuando llame a CreateTrainingJob, CreateHyperParameterTuningJob o CreateModel.
nota
El aislamiento de redes es necesario para modelos y trabajos de entrenamiento que se ejecutan usando recursos de AWS Marketplace. Para mayor seguridad, AWS Marketplace las imágenes se ejecutan en una Amazon VPC. Solo tienen acceso a los datos de sus sistemas de archivos locales.
Si habilitas el aislamiento de la red, los contenedores no podrán realizar llamadas de red salientes, ni siquiera a otros AWS servicios, como Amazon S3. Además, no hay AWS credenciales disponibles para el entorno de ejecución del contenedor. En el caso de un trabajo de formación con varias instancias, el tráfico entrante y saliente de la red se limita a los pares de cada contenedor de entrenamiento. SageMaker La IA sigue realizando operaciones de descarga y carga en Amazon S3 utilizando su función de ejecución de SageMaker IA de forma aislada del contenedor de entrenamiento o inferencia.
Los siguientes contenedores de SageMaker IA gestionados no admiten el aislamiento de la red porque requieren acceso a Amazon S3:
-
Chainer
-
SageMaker Aprendizaje reforzado con IA
Aislamiento de redes con una VPC
El aislamiento de redes se puede utilizar junto con una VPC. En ese caso, la descarga y carga de los datos del cliente y los artefactos del modelo se dirigen a través de la subred de VPC. Sin embargo, los contenedores de capacitación e inferencia en sí siguen estando aislados de la red; no tienen acceso a ningún recurso dentro de su VPC o en Internet.
