Connect ke SageMaker AI Dalam VPC Anda - Amazon SageMaker AI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Connect ke SageMaker AI Dalam VPC Anda

Anda dapat terhubung langsung melalui API Amazon WorkSpaces melalui SageMaker titik akhir antarmuka di virtual private cloud (VPC) alih-alih terhubung melalui internet. Ketika Anda menggunakan titik akhir antarmuka VPC, komunikasi antara VPC dan Anda SageMaker dilakukan sepenuhnya dan dengan aman di jaringan AWS .

Hubungkan ke SageMaker AI melalui VPC endpoint

mendukung SageMaker titik akhir antarmukahttps://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.htmlAmazon Virtual Private Cloud (Amazon VPC) yang didukung oleh PrivateLink. Masing-masing VPC endpoint diwakili oleh satu atau lebih Antarmuka Jaringan Elastis (ENI) dengan alamat IP privat di subnet VPC Anda. Misalnya, aplikasi di dalam VPC Anda digunakan AWS PrivateLink untuk berkomunikasi dengan SageMaker AI Runtime. SageMaker AI Runtime pada gilirannya berkomunikasi dengan titik akhir SageMaker AI. Menggunakan AWS PrivateLink memungkinkan Anda untuk memanggil titik akhir SageMaker AI Anda dari dalam VPC Anda, seperti yang ditunjukkan pada diagram berikut.

VPC digunakan AWS PrivateLink untuk berkomunikasi dengan titik akhir SageMaker AI.

Titik akhir antarmuka VPC menghubungkan VPC Anda langsung ke SageMaker tanpa gateway internet, perangkat NAT, koneksi VPN, atau koneksi . Instans di VPC Anda tidak perlu terhubung ke internet publik untuk berkomunikasi dengan API SageMaker atau AI SageMaker Runtime.

Anda dapat membuat titik akhir AWS PrivateLink antarmuka untuk terhubung ke SageMaker AI atau ke SageMaker AI Runtime menggunakan AWS Management Console atau AWS Command Line Interface ()AWS CLI. Untuk petunjuk, lihat Mengakses AWS layanan menggunakan titik akhir VPC antarmuka.

Jika Anda belum mengaktifkan nama host Sistem Nama Domain (DNS) pribadi untuk titik akhir VPC Anda, setelah Anda membuat titik akhir VPC, tentukan URL titik akhir internet ke API atau AI Runtime. SageMaker SageMaker Contoh kode menggunakan AWS CLI perintah untuk menentukan endpoint-url parameter berikut.

aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \ --endpoint-name Endpoint_Name \ --body "Endpoint_Body" \ --content-type "Content_Type" \ Output_File

Jika Anda mengaktifkan nama host DNS privat untuk VPC endpoint, Anda tidak perlu menentukan titik akhir URL karena nama host default (https://api.sagemaker. Region.amazon.com) menyelesaikan ke VPC endpoint Anda. Demikian pula, nama host SageMaker AI Runtime DNS default (https://runtime.sagemaker. Region.amazonaws.com) juga menyelesaikan ke VPC endpoint Anda.

SageMaker API dan SageMaker AI Runtime mendukung titik akhir VPC di semua Wilayah AWS tempat Amazon SageMaker VPC dan AI tersedia. SageMaker AI mendukung panggilan ke semua yang ada Operationsdi dalam VPC Anda. Jika Anda menggunakan AuthorizedUrl dari CreatePresignedNotebookInstanceUrlperintah, lalu lintas Anda akan melalui internet publik. Anda tidak hanya dapat menggunakan titik akhir VPC untuk mengakses URL yang telah ditetapkan sebelumnya, permintaan harus melalui gateway internet.

Secara default, pengguna Anda dapat membagikan URL yang telah ditetapkan sebelumnya kepada orang-orang di luar jaringan perusahaan Anda. Untuk keamanan tambahan, Anda harus menambahkan izin IAM untuk membatasi URL hanya dapat digunakan dalam jaringan Anda. Untuk informasi tentang izin IAM, lihat Cara AWS PrivateLink kerja dengan IAM.

catatan

Saat menyiapkan titik akhir antarmuka VPC untuk layanan SageMaker AI Runtime (https://runtime.sagemaker. Region.amazonaws.com), Anda harus memastikan bahwa titik akhir antarmuka VPC diaktifkan di Availability Zone klien Anda agar resolusi DNS pribadi berfungsi. Jika tidak, Anda mungkin melihat kegagalan DNS saat mencoba menyelesaikan URL.

Untuk mempelajari selengkapnya tentang AWS PrivateLink, lihat AWS PrivateLink dokumentasi. Untuk harga VPC endpoints, lihat AWS PrivateLink Harga VPC. Untuk mempelajari selengkapnya tentang VPC dan titik akhir, lihat Amazon VPC. Untuk informasi tentang cara menggunakan AWS Identity and Access Management kebijakan berbasis identitas untuk membatasi akses ke SageMaker API dan SageMaker AI Runtime, lihat. Kontrol akses ke SageMaker AI API dengan menggunakan kebijakan berbasis identitas

Menggunakan SageMaker pelatihan dan hosting dengan sumber daya di dalam VPC Anda

SageMaker AI menggunakan peran eksekusi Anda untuk mengunduh dan mengunggah informasi dari bucket Amazon S3 dan Amazon Elastic Container Registry (Amazon ECR) Registry ECR), terpisah dari wadah pelatihan atau inferensi Anda. Jika Anda memiliki sumber daya yang berada di dalam VPC Anda, Anda masih dapat memberikan akses SageMaker AI ke sumber daya tersebut. Bagian berikut menjelaskan cara membuat sumber daya Anda tersedia untuk SageMaker AI dengan atau tanpa isolasi jaringan.

Tanpa isolasi jaringan diaktifkan

Jika Anda belum mengatur isolasi jaringan pada pekerjaan atau model pelatihan Anda, SageMaker AI dapat mengakses sumber daya menggunakan salah satu metode berikut.

  • SageMaker pelatihan dan wadah inferensi yang diterapkan dapat mengakses internet secara default. SageMaker Kontainer AI dapat mengakses layanan dan sumber daya eksternal di internet publik sebagai bagian dari beban kerja pelatihan dan inferensi Anda. SageMaker Kontainer AI tidak dapat mengakses sumber daya di dalam VPC Anda tanpa konfigurasi VPC, seperti yang ditunjukkan pada ilustrasi berikut.

    SageMaker AI tidak dapat mengakses sumber daya di dalam VPC Anda tanpa konfigurasi VPC.
  • Gunakan konfigurasi VPC untuk berkomunikasi dengan sumber daya di dalam VPC Anda melalui elastic network interface (ENI). Komunikasi antara wadah dan sumber daya di VPC Anda berlangsung dengan aman di dalam jaringan VPC Anda, seperti yang ditunjukkan pada ilustrasi berikut. Dalam hal ini, Anda mengelola akses jaringan ke sumber daya VPC dan internet Anda.

    SageMaker AI dapat mengakses dan berkomunikasi dengan sumber daya di dalam VPC Anda dengan konfigurasi VPC.

Isolasi jaringan

Jika Anda menggunakan isolasi jaringan, wadah SageMaker AI tidak dapat berkomunikasi dengan sumber daya di dalam VPC Anda atau melakukan panggilan jaringan apa pun, seperti yang ditunjukkan pada ilustrasi berikut. Jika Anda menyediakan konfigurasi VPC, operasi pengunduhan dan pengunggahan akan dijalankan melalui VPC Anda. Untuk informasi selengkapnya tentang hosting dan pelatihan dengan isolasi jaringan saat menggunakan VPC, lihat. Isolasi Jaringan

SageMaker AI dapat mengakses dan berkomunikasi dengan sumber daya di dalam VPC Anda dengan konfigurasi VPC.

Anda dapat membuat kebijakan untuk Amazon VPC endpoint untuk Athena untuk menentukan berikut:

  • Prinsipal yang dapat melakukan tindakan.

  • Tindakan yang dapat dilakukan.

  • Sumber daya yang menjadi target tindakan.

Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan VPC Endpoint dalam Panduan Pengguna Amazon VPC.

catatan

Kebijakan VPC endpoint tidak didukung untuk titik akhir Amazon WorkSpaces Federal Information Processing Standard (FIPS).

Contoh kebijakan VPC endpoint berikut menentukan bahwa semua pengguna yang memiliki akses ke titik akhir antarmuka VPC diizinkan untuk meminta titik akhir yang di-hosting Amazon WorkSpaces bernama .

{ "Statement": [ { "Action": "sagemaker:InvokeEndpoint", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint", "Principal": "*" } ] }

Dalam contoh ini, tindakan berikut ditolak:

  • Tindakan SageMaker API lainnya, seperti sagemaker:CreateEndpoint dansagemaker:CreateTrainingJob.

  • Memanggil titik akhir yang dihosting SageMaker AI selain. myEndpoint

catatan

Dalam contoh ini, pengguna masih dapat mengambil tindakan API Amazon WorkSpaces lainnya dari luar VPC. Untuk informasi tentang cara membatasi panggilan API ke panggilan dari dalam VPC, lihat. Kontrol akses ke SageMaker AI API dengan menggunakan kebijakan berbasis identitas

Untuk membuat Endpoint VPC untuk Amazon SageMaker Feature Store, gunakan templat endpoint berikut, ganti template Anda dan: VPC_Endpoint_ID.api Region

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

Untuk memanggil Amazon WorkSpaces API melalui VPC Anda, Anda harus terhubung dari instans yang ada di dalam VPC, atau hubungkan jaringan privat ke VPC Anda dengan menggunakan SageMaker ( SageMaker ) atau . Untuk informasi selengkapnya, lihat AWS VPN Koneksi VPN di Panduan Pengguna Amazon Virtual Private Cloud. Untuk informasi tentang AWS Direct Connect, lihat Membuat hubungan di Panduan Pengguna AWS .