Da acceso a los trabajos de SageMaker compilación a los recursos de tu Amazon VPC - Amazon SageMaker
Configurar un trabajo de compilación para Amazon VPC AccessConfigura tu cuenta privada VPC para la SageMaker compilación

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Da acceso a los trabajos de SageMaker compilación a los recursos de tu Amazon VPC

nota

Para los trabajos de compilación, solo puede configurar subredes con una tenencia predeterminada VPC en la que su trabajo se ejecute en hardware compartido. Para obtener más información sobre el atributo de arrendamientoVPCs, consulte Instancias dedicadas.

Configurar un trabajo de compilación para Amazon VPC Access

Para especificar subredes y grupos de seguridad en su VPC entorno privado, utilice el parámetro de VpcConfig solicitud o proporcione esta información al crear un trabajo de compilación en la SageMaker consola. CreateCompilationJobAPI SageMaker Neo utiliza esta información para crear interfaces de red y adjuntarlas a sus trabajos de compilación. Las interfaces de red proporcionan trabajos de compilación con una conexión de red VPC interna que no está conectada a Internet. También permiten que su trabajo de compilación se conecte a los recursos de su entorno privadoVPC. A continuación se muestra un ejemplo del parámetro VpcConfig incluido en su llamada a CreateCompilationJob:

VpcConfig: {"Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

Configura tu cuenta privada VPC para la SageMaker compilación

Al configurar la privacidad VPC para sus trabajos de SageMaker compilación, siga las siguientes instrucciones. Para obtener información sobre la configuración de unaVPC, consulte Trabajar con subredes VPCs y subredes en la Guía del VPC usuario de Amazon.

Cómo asegurar que las subredes dispongan de suficientes direcciones IP

VPCLas subredes deben tener al menos dos direcciones IP privadas para cada instancia de un trabajo de compilación. Para obtener más información, consulte VPCDimensionamiento de subredes IPv4 en la Guía del VPCusuario de Amazon.

Creación de un VPC punto de conexión Amazon S3

Si lo configura VPC para bloquear el acceso a Internet, SageMaker Neo no podrá conectarse a los buckets de Amazon S3 que contienen sus modelos a menos que cree un VPC punto final que permita el acceso. Al crear un VPC punto final, permites que tus trabajos de compilación de SageMaker Neo accedan a los depósitos en los que guardas tus datos y modelas los artefactos. Te recomendamos que también crees una política personalizada que permita que solo las solicitudes de tu red privada accedan VPC a tus depósitos de S3. Para obtener más información, consulte Puntos de enlace para Amazon S3.

Para crear un VPC punto final de S3:

  1. Abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Endpoints (Puntos de enlace) y, a continuación, elija Create Endpoint (Crear punto de enlace).

  3. Para el nombre del servicio, busca com.amazonaws.region.s3, donde region es el nombre de la región en la que VPC reside.

  4. Elija el tipo de puerta de enlace.

  5. Para VPC, elija el VPC que desee usar para este punto final.

  6. En Configurar tablas de enrutamiento, seleccione las tablas de enrutamiento que debe usar el punto de conexión. El VPC servicio agrega automáticamente una ruta a cada tabla de rutas que seleccione para dirigir el tráfico de S3 al nuevo punto final.

  7. En Política, elija Acceso total para permitir el acceso total al servicio S3 por parte de cualquier usuario o servicio delVPC. Elija Personalizado para restringir el acceso más. Para obtener más información, consulte Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3.

Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3

La política de puntos finales predeterminada permite el acceso total a S3 para cualquier usuario o servicio de su empresaVPC. Para restringir aún más el acceso a S3, cree una política de puntos de enlace personalizada. Para obtener más información, consulte Using Endpoint Policies for Amazon S3. También puedes usar una política de buckets para restringir el acceso a tus buckets de S3 únicamente al tráfico que provenga de tu AmazonVPC. Para obtener más información, consulte Using Amazon S3 Bucket Policies. La siguiente es una política personalizada de ejemplo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::your-sample-bucket",
                "arn:aws:s3:::your-sample-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "aws:SourceVpce": [
                        "vpce-01234567890123456"
                    ]
                }
            }
        }
    ]
}

Añadir permisos para ejecutar un trabajo de compilación en Amazon VPC a IAM las políticas personalizadas

La política SageMakerFullAccess gestionada incluye los permisos que necesitas para usar los modelos configurados para el VPC acceso de Amazon con un punto final. Estos permisos permiten a SageMaker Neo crear una interfaz de red elástica y adjuntarla a un trabajo de compilación que se ejecuta en AmazonVPC. Si utilizas tu propia IAM política, debes añadir los siguientes permisos a esa política para usar los modelos configurados para el VPC acceso a Amazon.

{"Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}

Para obtener más información sobre la política administrada SageMakerFullAccess, consulte AWS política gestionada: AmazonSageMakerFullAccess.

Configurar tablas de ruteo

Utilice la DNS configuración predeterminada para la tabla de rutas de puntos finales, de modo que se resuelva el Amazon S3 estándar URLs (por ejemplohttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket). Si no utiliza la DNS configuración predeterminada, asegúrese de que la URLs que utiliza para especificar las ubicaciones de los datos en sus trabajos de compilación se resuelva configurando las tablas de rutas de los puntos finales. Para obtener información sobre las tablas de enrutamiento de puntos VPC finales, consulte Enrutamiento para puntos de enlace de puerta de enlace en la Guía del VPC usuario de Amazon.

Configure el grupo VPC de seguridad

En su grupo de seguridad para el trabajo de compilación, debe permitir la comunicación saliente con sus VPC puntos de enlace de Amazon S3 y los CIDR rangos de subredes utilizados para el trabajo de compilación. Para obtener más información, consulte Reglas de grupos de seguridad y control del acceso a los servicios con los VPC puntos de enlace de Amazon.