Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Berikan Akses Endpoint yang SageMaker Dihosting ke Sumber Daya di Amazon Anda VPC
Konfigurasikan Model untuk VPC Akses Amazon
Untuk menentukan subnet dan grup keamanan di pribadi AndaVPC, gunakan parameter VpcConfig permintaan CreateModelAPI, atau berikan informasi ini saat Anda membuat model di SageMaker konsol. SageMaker menggunakan informasi ini untuk membuat antarmuka jaringan dan melampirkannya ke wadah model Anda. Antarmuka jaringan menyediakan wadah model Anda dengan koneksi jaringan di dalam Anda VPC yang tidak terhubung ke internet. Mereka juga memungkinkan model Anda untuk terhubung ke sumber daya di pribadi AndaVPC.
catatan
Anda harus membuat setidaknya dua subnet di zona ketersediaan yang berbeda di pribadi AndaVPC, bahkan jika Anda hanya memiliki satu instance hosting.
Berikut ini adalah contoh VpcConfig parameter yang Anda sertakan dalam panggilan Anda keCreateModel:
VpcConfig: { "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] }
Konfigurasikan Pribadi Anda VPC untuk SageMaker Hosting
Saat mengonfigurasi privat VPC untuk SageMaker model Anda, gunakan panduan berikut. Untuk informasi tentang pengaturanVPC, lihat Bekerja dengan VPCs dan Subnet di Panduan VPC Pengguna Amazon.
Topik
- Pastikan Subnet Memiliki Alamat IP yang Cukup
- Buat Endpoint Amazon S3 VPC
- Menggunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke Amazon S3
- Tambahkan Izin untuk Akses Titik Akhir untuk Kontainer yang Berjalan di Kebijakan VPC Kustom IAM
- Konfigurasikan Tabel Rute
- Connect ke Sumber Daya di Luar Anda VPC
Pastikan Subnet Memiliki Alamat IP yang Cukup
Instans pelatihan yang tidak menggunakan Elastic Fabric Adapter (EFA) harus memiliki setidaknya 2 alamat IP pribadi. Contoh pelatihan yang menggunakan an EFA harus memiliki setidaknya 5 alamat IP pribadi. Untuk informasi selengkapnya, lihat Beberapa alamat IP di Panduan EC2 Pengguna Amazon.
Buat Endpoint Amazon S3 VPC
Jika Anda mengonfigurasi VPC sehingga wadah model tidak memiliki akses ke internet, mereka tidak dapat terhubung ke bucket Amazon S3 yang berisi data Anda kecuali Anda membuat VPC titik akhir yang memungkinkan akses. Dengan membuat VPC titik akhir, Anda mengizinkan wadah model Anda mengakses bucket tempat Anda menyimpan data dan artefak model. Kami menyarankan Anda juga membuat kebijakan khusus yang hanya mengizinkan permintaan dari pribadi Anda VPC untuk mengakses bucket S3 Anda. Untuk informasi selengkapnya, lihat Titik Akhir untuk Amazon S3.
Untuk membuat endpoint Amazon S3VPC:
-
Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/
. -
Di panel navigasi, pilih Endpoints, lalu pilih Create Endpoint
-
Untuk Nama Layanan, pilih com.amazonaws.
region.s3, dimanaregionadalah nama AWS Wilayah tempat Anda VPC tinggal. -
Untuk VPC, pilih VPC yang ingin Anda gunakan untuk titik akhir ini.
-
Untuk Konfigurasi tabel rute, pilih tabel rute untuk titik akhir yang akan digunakan. VPCLayanan secara otomatis menambahkan rute ke setiap tabel rute yang Anda pilih yang mengarahkan lalu lintas Amazon S3 ke titik akhir baru.
-
Untuk Kebijakan, pilih Akses Penuh untuk mengizinkan akses penuh ke layanan Amazon S3 oleh pengguna atau layanan mana pun di dalam. VPC Untuk membatasi akses lebih lanjut, pilih Kustom. Untuk informasi selengkapnya, lihat Menggunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke Amazon S3.
Menggunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke Amazon S3
Kebijakan endpoint default memungkinkan akses penuh ke Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) untuk setiap pengguna atau layanan di Anda. VPC Untuk lebih membatasi akses ke Amazon S3, buat kebijakan titik akhir kustom. Untuk informasi selengkapnya, lihat Menggunakan Kebijakan Titik Akhir untuk Amazon S3.
Anda juga dapat menggunakan kebijakan bucket untuk membatasi akses ke bucket S3 hanya untuk lalu lintas yang berasal dari Amazon Anda. VPC Untuk selengkapnya, lihat Menggunakan Kebijakan Bucket Amazon S3.
Batasi Instalasi Package pada Container Model dengan Kebijakan Endpoint Kustom
Kebijakan endpoint default memungkinkan pengguna untuk menginstal paket dari repositori Amazon Linux dan Amazon Linux 2 pada wadah model. Jika Anda tidak ingin pengguna menginstal paket dari repositori tersebut, buat kebijakan endpoint khusus yang secara eksplisit menolak akses ke repositori Amazon Linux dan Amazon Linux 2. Berikut ini adalah contoh kebijakan yang menolak akses ke repositori ini:
{ "Statement": [ { "Sid": "AmazonLinuxAMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::packages.*.amazonaws.com/*", "arn:aws:s3:::repo.*.amazonaws.com/*" ] } ] } { "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" ] } ] }
Tambahkan Izin untuk Akses Titik Akhir untuk Kontainer yang Berjalan di Kebijakan VPC Kustom IAM
Kebijakan SageMakerFullAccess terkelola mencakup izin yang Anda perlukan untuk menggunakan model yang dikonfigurasi untuk VPC akses Amazon dengan titik akhir. Izin ini memungkinkan SageMaker untuk membuat elastic network interface dan melampirkannya ke wadah model yang berjalan di file. VPC Jika Anda menggunakan IAM kebijakan Anda sendiri, Anda harus menambahkan izin berikut ke kebijakan tersebut untuk menggunakan model yang dikonfigurasi untuk VPC akses.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeVpcEndpoints", "ec2:DescribeDhcpOptions", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateNetworkInterface" ], "Resource": "*" } ] }
Untuk informasi selengkapnya tentang kebijakan SageMakerFullAccess terkelola, lihatAWS kebijakan terkelola: AmazonSageMakerFullAccess.
Konfigurasikan Tabel Rute
Gunakan DNS setelan default untuk tabel rute titik akhir Anda, sehingga Amazon URLs S3 standar (misalnyahttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket,) diselesaikan. Jika Anda tidak menggunakan DNS pengaturan default, pastikan URLs bahwa yang Anda gunakan untuk menentukan lokasi data dalam model Anda diselesaikan dengan mengonfigurasi tabel rute titik akhir. Untuk informasi tentang tabel rute VPC titik akhir, lihat Perutean untuk Titik Akhir Gateway di Panduan Pengguna Amazon VPC.
Connect ke Sumber Daya di Luar Anda VPC
Jika Anda mengonfigurasi VPC sehingga tidak memiliki akses internet, model yang digunakan yang VPC tidak memiliki akses ke sumber daya di luar AndaVPC. Jika model Anda membutuhkan akses ke sumber daya di luar AndaVPC, berikan akses dengan salah satu opsi berikut:
-
Jika model Anda memerlukan akses ke AWS layanan yang mendukung VPC titik akhir antarmuka, buat titik akhir untuk terhubung ke layanan tersebut. Untuk daftar layanan yang mendukung titik akhir antarmuka, lihat VPCTitik akhir di VPCPanduan Pengguna Amazon. Untuk informasi tentang membuat VPC titik akhir antarmuka, lihat VPCTitik Akhir Antarmuka (AWS PrivateLink) di VPCPanduan Pengguna Amazon.
-
Jika model Anda memerlukan akses ke AWS layanan yang tidak mendukung VPC titik akhir antarmuka atau sumber daya di luar AWS, buat NAT gateway dan konfigurasikan grup keamanan Anda untuk mengizinkan koneksi keluar. Untuk informasi tentang menyiapkan NAT gateway untuk AndaVPC, lihat Skenario 2: VPC dengan Subnet Publik dan Pribadi (NAT) di Panduan Pengguna Amazon Virtual Private Cloud.
