Donnez aux points de terminaison SageMaker hébergés l'accès aux ressources de votre Amazon VPC - Amazon SageMaker
Configuration d'un modèle pour Amazon VPC AccessConfigurez votre espace privé VPC pour l' SageMaker hébergement

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Donnez aux points de terminaison SageMaker hébergés l'accès aux ressources de votre Amazon VPC

Configuration d'un modèle pour Amazon VPC Access

Pour spécifier des sous-réseaux et des groupes de sécurité dans votre VPC espace privé, utilisez le paramètre de VpcConfig requête du CreateModelAPI, ou fournissez ces informations lorsque vous créez un modèle dans la SageMaker console. SageMaker utilise ces informations pour créer des interfaces réseau et les associer à vos modèles de conteneurs. Les interfaces réseau fournissent à vos modèles de conteneurs une connexion réseau au sein de votre VPC ordinateur qui n'est pas connectée à Internet. Ils permettent également à votre modèle de se connecter à des ressources dans votre espace privéVPC.

Note

Vous devez créer au moins deux sous-réseaux dans différentes zones de disponibilité dans votre espace privéVPC, même si vous ne disposez que d'une seule instance d'hébergement.

Voici un exemple du paramètre VpcConfig que vous incluez dans votre appel à CreateModel :

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }

Configurez votre espace privé VPC pour l' SageMaker hébergement

Lorsque vous configurez le VPC mode privé pour vos SageMaker modèles, suivez les instructions suivantes. Pour plus d'informations sur la configuration d'unVPC, consultez la section Utilisation des sous-réseaux VPCs et des sous-réseaux dans le guide de VPC l'utilisateur Amazon.

S'assurer que les sous-réseaux ont suffisamment d'adresses IP

Les instances de formation qui n'utilisent pas d'adaptateur Elastic Fabric (EFA) doivent disposer d'au moins 2 adresses IP privées. Les instances de formation qui utilisent et EFA doivent disposer d'au moins 5 adresses IP privées. Pour plus d'informations, consultez la section Adresses IP multiples dans le guide de EC2 l'utilisateur Amazon.

Création d'un point de VPC terminaison Amazon S3

Si vous configurez votre modèle de VPC manière à ce que les conteneurs modèles n'aient pas accès à Internet, ils ne peuvent pas se connecter aux compartiments Amazon S3 contenant vos données, sauf si vous créez un VPC point de terminaison autorisant l'accès. En créant un VPC point de terminaison, vous autorisez vos conteneurs de modèles à accéder aux compartiments dans lesquels vous stockez vos données et vos artefacts de modèle. Nous vous recommandons également de créer une politique personnalisée qui autorise uniquement les demandes provenant de votre compte privé VPC à accéder à vos compartiments S3. Pour plus d’informations, consultez Points de terminaison pour Amazon S3.

Pour créer un point de VPC terminaison Amazon S3 :

  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Endpoints (Points de terminaison), puis Create Endpoint (Créer un point de terminaison).

  3. Pour Nom du service, choisissez com.amazonaws.region.s3, où region est le nom de la AWS région dans laquelle vous VPC résidez.

  4. Pour VPC, choisissez celui VPC que vous souhaitez utiliser pour ce point de terminaison.

  5. Pour Configure route tables (Configurer les tables de routage), choisissez les tables de routage qui seront utilisées par le point de terminaison. Le VPC service ajoute automatiquement une route à chaque table de routage que vous choisissez pour diriger le trafic Amazon S3 vers le nouveau point de terminaison.

  6. Pour Policy, choisissez Full Access pour permettre à n'importe quel utilisateur ou service au sein duVPC. Pour restreindre davantage l'accès, choisissez Custom (Personnalisé). Pour de plus amples informations, veuillez consulter Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à Amazon S3.

Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à Amazon S3

La politique de point de terminaison par défaut permet un accès complet à Amazon Simple Storage Service (Amazon S3) pour tous les utilisateurs ou services de votre entreprise. VPC Pour limiter l’accès à Amazon S3, créez une politique de point de terminaison personnalisé. Pour plus d’informations, consultez Utilisation des politiques de point de terminaison pour Amazon S3.

Vous pouvez également utiliser une politique de compartiment pour restreindre l'accès à vos compartiments S3 uniquement au trafic provenant de votre AmazonVPC. Pour obtenir des informations, veuillez consulter Utilisation de politiques de compartiment Amazon S3.

Restriction de l'installation de packages sur le conteneur de modèles à l'aide d'une politique de point de terminaison personnalisée

La politique de point de terminaison par défaut permet aux utilisateurs d'installer des packages à partir des référentiels Amazon Linux et Amazon Linux 2 sur le conteneur de modèles. Si vous ne voulez pas que les utilisateurs installent des packages à partir de ces référentiels, créez une politique de point de terminaison personnalisée qui refuse explicitement l'accès aux référentiels Amazon Linux et Amazon Linux 2. Voici un exemple de politique qui refuse l'accès à ces référentiels :

{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

Ajoutez des autorisations d'accès aux terminaux pour les conteneurs exécutés dans un VPC à des IAM politiques personnalisées

La politique SageMakerFullAccess gérée inclut les autorisations dont vous avez besoin pour utiliser les modèles configurés pour Amazon VPC Access avec un point de terminaison. Ces autorisations permettent SageMaker de créer une interface réseau élastique et de l'associer à des conteneurs modèles exécutés dans unVPC. Si vous utilisez votre propre IAM stratégie, vous devez y ajouter les autorisations suivantes pour utiliser les modèles configurés pour VPC l'accès. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface"
            ],
            "Resource": "*"
        }
    ]
}

Pour plus d'informations sur la politique gérée SageMakerFullAccess, consultez AWS politique gérée : AmazonSageMakerFullAccess.

Configuration des tables de routage

Utilisez DNS les paramètres par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemplehttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) soit résolu. Si vous n'utilisez pas DNS les paramètres par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos modèles sont résolus en configurant les tables de routage des points de terminaison. Pour plus d'informations sur les tables de routage des points de VPC terminaison, consultez la section Routing for Gateway Endpoints dans le guide de VPC l'utilisateur Amazon.

Connectez-vous à des ressources extérieures à votre VPC

Si vous configurez votre appareil de VPC manière à ce qu'il n'ait pas accès à Internet, les modèles qui l'utilisent VPC n'ont pas accès à des ressources extérieures à votreVPC. Si votre modèle a besoin d'accéder à des ressources extérieures à la vôtreVPC, offrez-lui l'une des options suivantes :

  • Si votre modèle a besoin d'accéder à un AWS service qui prend en charge les VPC points de terminaison d'interface, créez un point de terminaison pour vous connecter à ce service. Pour obtenir la liste des services qui prennent en charge les points de terminaison d'interface, consultez la section VPCEndpoints dans le guide de VPCl'utilisateur Amazon. Pour plus d'informations sur la création d'un point de VPC terminaison d'interface, consultez Interface VPC Endpoints (AWS PrivateLink) dans le guide de VPC l'utilisateur Amazon.

  • Si votre modèle a besoin d'accéder à un AWS service qui ne prend pas en charge les VPC points de terminaison d'interface ou à une ressource extérieure AWS, créez une NAT passerelle et configurez vos groupes de sécurité pour autoriser les connexions sortantes. Pour plus d'informations sur la configuration d'une NAT passerelle pour votre VPC compte, consultez Scénario 2 : VPC avec des sous-réseaux publics et privés (NAT) dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.