Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ofrezca a los trabajos de SageMaker procesamiento acceso a los recursos de su Amazon VPC
Para controlar el acceso a tus datos y las tareas de procesamiento, crea un Amazon VPC con subredes privadas. Para obtener información sobre cómo crear y configurar unVPC, consulte Comenzar con Amazon VPC en la Guía del VPC usuario de Amazon.
Puede monitorizar todo el tráfico de red que entra y sale de sus contenedores de procesamiento mediante registros de VPC flujo. Para obtener más información, consulta VPCFlow Logs en la Guía del VPC usuario de Amazon.
En este documento se explica cómo añadir VPC configuraciones de Amazon para procesar trabajos.
Configurar un trabajo de procesamiento para Amazon VPC Access
Para configurar el trabajo de procesamiento, especifique las subredes y el grupo de seguridad IDs dentro delVPC. No es necesario especificar la subred para el contenedor de procesamiento. Amazon extrae SageMaker automáticamente el contenedor de procesamiento de AmazonECR. Para obtener más información sobre los contenedores de procesamiento, consulte Utilice trabajos de procesamiento para ejecutar cargas de trabajo de transformación de datos.
Al crear un trabajo de procesamiento, puede especificar sus subredes y grupos de seguridad VPC mediante la SageMaker consola o el. API
Para utilizarlosAPI, especifique las subredes y el grupo de seguridad IDs en el NetworkConfig.VpcConfig parámetro de la CreateProcessingJoboperación. SageMaker utiliza los detalles de la subred y el grupo de seguridad para crear las interfaces de red y las conecta a los contenedores de procesamiento. Las interfaces de red proporcionan a los contenedores de procesamiento una conexión de red interna. VPC Esto permite que el trabajo de procesamiento se conecte a los recursos que existen en suVPC.
A continuación se muestra un ejemplo del parámetro VpcConfig incluido en su llamada a la operación CreateProcessingJob:
VpcConfig: { "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] }
Configure su privacidad VPC para su SageMaker procesamiento
Al configurar la privacidad VPC para sus trabajos SageMaker de procesamiento, siga las siguientes pautas. Para obtener información sobre la configuración de unaVPC, consulte Trabajar con subredes VPCs y subredes en la Guía del VPC usuario de Amazon.
Temas
- Cómo asegurar que las subredes dispongan de suficientes direcciones IP
- Creación de un VPC punto de conexión Amazon S3
- Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3
- Configurar tablas de ruteo
- Configure el grupo VPC de seguridad
- Conéctese a recursos ajenos a su VPC
- Supervisa los trabajos SageMaker de procesamiento de Amazon con CloudWatch registros y métricas
Cómo asegurar que las subredes dispongan de suficientes direcciones IP
VPCLas subredes deben tener al menos dos direcciones IP privadas para cada instancia de un trabajo de procesamiento. Para obtener más información, consulte VPCTamaño de subred IPv4 en la Guía del VPCusuario de Amazon.
Creación de un VPC punto de conexión Amazon S3
Si VPC lo configura para que los contenedores de procesamiento no tengan acceso a Internet, no se podrán conectar a los buckets de Amazon S3 que contienen sus datos, a menos que cree un VPC punto final que permita el acceso. Al crear un VPC punto final, permite que sus contenedores de procesamiento accedan a los depósitos en los que almacena sus datos. Le recomendamos que también cree una política personalizada que permita que solo las solicitudes de su cuenta privada accedan VPC a sus depósitos de S3. Para obtener más información, consulte Puntos de enlace para Amazon S3.
Para crear un VPC punto final de S3:
-
Abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/
. -
En el panel de navegación, elija Endpoints (Puntos de enlace) y, a continuación, elija Create Endpoint (Crear punto de enlace).
-
Para el nombre del servicio, selecciona com.amazonaws.
region.s3, donderegiones el nombre de la región en la que VPC reside. -
Para VPC, elija el VPC que desee usar para este punto final.
-
En Configurar tablas de enrutamiento, seleccione las tablas de enrutamiento que debe usar el punto de conexión. El VPC servicio agrega automáticamente una ruta a cada tabla de rutas que seleccione para dirigir el tráfico de S3 al nuevo punto final.
-
En Política, elija Acceso total para permitir el acceso total al servicio S3 por parte de cualquier usuario o servicio delVPC. Elija Personalizado para restringir el acceso más. Para obtener más información, consulte Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3.
Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3
La política de puntos finales predeterminada permite el acceso total a S3 para cualquier usuario o servicio de su empresaVPC. Para restringir aún más el acceso a S3, cree una política de puntos de enlace personalizada. Para obtener más información, consulte Using Endpoint Policies for Amazon S3. También puedes usar una política de buckets para restringir el acceso a tus buckets de S3 únicamente al tráfico que provenga de tu AmazonVPC. Para obtener más información, consulte Using Amazon S3 Bucket Policies.
Limitar la instalación de paquetes en el contenedor de procesamiento
La política de punto de enlace predeterminada permite a los usuarios instalar paquetes desde los repositorios de Amazon Linux y Amazon Linux 2 en el contenedor de procesamiento. Si no desea que los usuarios instalen paquetes desde ese repositorio, cree una política de punto de enlace personalizada que deniegue de forma explícita el acceso a los repositorios de Amazon Linux y Amazon Linux 2. A continuación se muestra un ejemplo de una política que deniega el acceso a estos repositorios:
{ "Statement": [ { "Sid": "AmazonLinuxAMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::packages.*.amazonaws.com/*", "arn:aws:s3:::repo.*.amazonaws.com/*" ] } ] } { "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" ] } ] }
Configurar tablas de ruteo
Utilice la DNS configuración predeterminada para la tabla de rutas de puntos finales, de modo que se resuelva el Amazon S3 estándar URLs (por ejemplohttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket). Si no utiliza la DNS configuración predeterminada, asegúrese de que la URLs que utiliza para especificar las ubicaciones de los datos en sus trabajos de procesamiento se resuelva configurando las tablas de rutas de los puntos finales. Para obtener información sobre las tablas de enrutamiento de puntos VPC finales, consulte Enrutamiento para puntos de enlace de puerta de enlace en la Guía del VPC usuario de Amazon.
Configure el grupo VPC de seguridad
En el procesamiento distribuido, debe permitir la comunicación entre distintos contenedores en el mismo trabajo de procesamiento. Para ello, configure una regla para el grupo de seguridad que permita conexiones entrantes entre miembros del mismo grupo de seguridad. Para obtener más información, consulte Reglas del grupo de seguridad.
Conéctese a recursos ajenos a su VPC
Si va a conectar sus modelos a recursos ajenos a los VPC que se están ejecutando, realice una de las siguientes acciones:
-
Conectarse a otros AWS servicios: si su modelo necesita acceso a un AWS servicio que admita los VPC puntos de conexión de la interfaz de Amazon, cree un punto final para conectarse a ese servicio. Para obtener una lista de los servicios que admiten los puntos finales de la interfaz, consulte AWS servicios que se integran con AWS PrivateLinken el AWS PrivateLink Guía del usuario. Para obtener información sobre la creación de un VPC punto final de interfaz, consulte Acceder a un AWS servicio mediante un VPC punto final de interfaz en el AWS PrivateLink Guía del usuario.
-
Conéctese a los recursos a través de Internet: si sus modelos se ejecutan en instancias de Amazon VPC que no tiene una subred con acceso a Internet, los modelos no tendrán acceso a los recursos de Internet. Si su modelo necesita acceso a una AWS servicio que no admite VPC puntos finales de interfaz o a un recurso externo a AWS, asegúrese de ejecutar sus modelos en una subred privada que tenga acceso a Internet mediante una NAT puerta de enlace pública en una subred pública. Una vez que haya ejecutado sus modelos en la subred privada, configure los grupos de seguridad y las listas de control de acceso a la red (NACLs) para permitir las conexiones salientes desde la subred privada a la NAT puerta de enlace pública de la subred pública. Para obtener más información, consulta NATlas pasarelas en la Guía del VPC usuario de Amazon.
Supervisa los trabajos SageMaker de procesamiento de Amazon con CloudWatch registros y métricas
Amazon SageMaker proporciona CloudWatch registros y métricas de Amazon para supervisar los trabajos de formación. CloudWatch proporciona métricas de memoria CPUGPU, GPU memoria y disco y registro de eventos. Para obtener más información sobre la supervisión de los trabajos SageMaker de procesamiento de Amazon, consulta Supervisa Amazon SageMaker con Amazon CloudWatch ySageMaker métricas de puestos de trabajo y puntos finales.
