Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Connect ke SageMaker Dalam VPC Anda
Anda dapat terhubung langsung ke SageMaker API atau ke Amazon SageMaker Runtime melalui titik akhir antarmuka di cloud pribadi virtual (VPC) Anda alih-alih terhubung melalui internet. Saat Anda menggunakan titik akhir antarmuka VPC, komunikasi antara VPC dan SageMaker API atau Runtime dilakukan sepenuhnya dan aman di dalam jaringan. AWS
Connect ke SageMaker melalui titik akhir antarmuka VPC
SageMaker API dan SageMaker Runtime mendukung titik akhir antarmuka Amazon Virtual Private Cloud (Amazon VPC) yang didukung oleh. AWS PrivateLink
Titik akhir antarmuka VPC menghubungkan VPC Anda langsung ke SageMaker API atau SageMaker Runtime menggunakan AWS PrivateLink tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect Instans di VPC Anda tidak perlu terhubung ke internet publik untuk berkomunikasi dengan API SageMaker atau SageMaker Runtime.
Anda dapat membuat titik akhir AWS PrivateLink antarmuka untuk terhubung ke SageMaker atau ke SageMaker Runtime menggunakan AWS Management Console atau AWS Command Line Interface ()AWS CLI. Untuk petunjuk, lihat Mengakses AWS layanan menggunakan titik akhir VPC antarmuka.
Jika Anda belum mengaktifkan nama host Sistem Nama Domain (DNS) pribadi untuk titik akhir VPC Anda, setelah Anda membuat titik akhir VPC, tentukan URL titik akhir internet ke API atau Runtime. SageMaker SageMaker Contoh kode menggunakan AWS CLI perintah untuk menentukan endpoint-url parameter berikut.
aws sagemaker list-notebook-instances --endpoint-urlVPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker list-training-jobs --endpoint-urlVPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \ --endpoint-nameEndpoint_Name\ --body "Endpoint_Body" \ --content-type "Content_Type" \Output_File
Jika Anda mengaktifkan nama host DNS pribadi untuk titik akhir VPC Anda, Anda tidak perlu menentukan URL titik akhir karena nama host default (https://api.sagemaker. Region .amazon.com) menyelesaikan ke titik akhir VPC Anda. Demikian pula, nama host DNS SageMaker Runtime default (https://runtime.sagemaker. Region .amazonaws.com) juga menyelesaikan ke titik akhir VPC Anda.
SageMaker API dan SageMaker Runtime mendukung titik akhir VPC di semua Wilayah AWS tempat Amazon VPC dan ares tersedia. SageMaker SageMaker mendukung membuat panggilan ke semua yang ada Operationsdi dalam VPC Anda. Jika Anda menggunakan AuthorizedUrl dari CreatePresignedNotebookInstanceUrlperintah, lalu lintas Anda akan melalui internet publik. Anda tidak hanya dapat menggunakan titik akhir VPC untuk mengakses URL yang telah ditetapkan sebelumnya, permintaan harus melalui gateway internet.
Secara default, pengguna Anda dapat membagikan URL yang telah ditetapkan sebelumnya kepada orang-orang di luar jaringan perusahaan Anda. Untuk keamanan tambahan, Anda harus menambahkan izin IAM untuk membatasi URL hanya dapat digunakan dalam jaringan Anda. Untuk informasi tentang izin IAM, lihat Cara AWS PrivateLink kerja dengan IAM.
catatan
Saat menyiapkan titik akhir antarmuka VPC untuk layanan SageMaker Runtime (https://runtime.sagemaker. Region
Untuk mempelajari selengkapnya AWS PrivateLink, lihat AWS PrivateLink dokumentasi. Lihat AWS PrivateLink Harga
Menggunakan SageMaker pelatihan dan hosting dengan sumber daya di dalam VPC Anda
SageMaker menggunakan peran eksekusi Anda untuk mengunduh dan mengunggah informasi dari bucket Amazon S3 dan Amazon Elastic Container Registry (Amazon ECR) Registry ECR), terpisah dari wadah pelatihan atau inferensi Anda. Jika Anda memiliki sumber daya yang berada di dalam VPC Anda, Anda masih dapat memberikan SageMaker akses ke sumber daya tersebut. Bagian berikut menjelaskan cara membuat sumber daya Anda tersedia SageMaker dengan atau tanpa isolasi jaringan.
Tanpa isolasi jaringan diaktifkan
Jika Anda belum mengatur isolasi jaringan pada pekerjaan atau model pelatihan Anda, SageMaker dapat mengakses sumber daya menggunakan salah satu metode berikut.
-
SageMaker pelatihan dan wadah inferensi yang diterapkan dapat mengakses internet secara default. SageMaker kontainer dapat mengakses layanan dan sumber daya eksternal di internet publik sebagai bagian dari beban kerja pelatihan dan inferensi Anda. SageMaker kontainer tidak dapat mengakses sumber daya di dalam VPC Anda tanpa konfigurasi VPC, seperti yang ditunjukkan pada ilustrasi berikut.
-
Gunakan konfigurasi VPC untuk berkomunikasi dengan sumber daya di dalam VPC Anda melalui elastic network interface (ENI). Komunikasi antara wadah dan sumber daya di VPC Anda berlangsung dengan aman di dalam jaringan VPC Anda, seperti yang ditunjukkan pada ilustrasi berikut. Dalam hal ini, Anda mengelola akses jaringan ke sumber daya VPC dan internet Anda.
Dengan isolasi jaringan
Jika Anda menggunakan isolasi jaringan, SageMaker penampung tidak dapat berkomunikasi dengan sumber daya di dalam VPC Anda atau melakukan panggilan jaringan apa pun, seperti yang ditunjukkan pada ilustrasi berikut. Jika Anda menyediakan konfigurasi VPC, operasi pengunduhan dan pengunggahan akan dijalankan melalui VPC Anda. Untuk informasi selengkapnya tentang hosting dan pelatihan dengan isolasi jaringan saat menggunakan VPC, lihat. Isolasi Jaringan
Membuat Kebijakan Titik Akhir VPC untuk SageMaker
Anda dapat membuat kebijakan untuk titik akhir VPC Amazon SageMaker untuk menentukan hal berikut:
-
Prinsipal yang dapat melakukan tindakan.
-
Tindakan yang dapat dilakukan.
-
Sumber daya yang menjadi target tindakan.
Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan VPC Endpoint dalam Panduan Pengguna Amazon VPC.
catatan
Kebijakan titik akhir VPC tidak didukung untuk titik akhir runtime Federal Information Processing Standard (FIPS) SageMaker untuk. runtime_InvokeEndpoint
Contoh kebijakan titik akhir VPC berikut menetapkan bahwa semua pengguna yang memiliki akses ke titik akhir antarmuka VPC diizinkan untuk memanggil titik akhir yang di-host bernama. SageMaker myEndpoint
{ "Statement": [ { "Action": "sagemaker:InvokeEndpoint", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint", "Principal": "*" } ] }
Dalam contoh ini, berikut ini ditolak:
-
Tindakan SageMaker API lainnya, seperti
sagemaker:CreateEndpointdansagemaker:CreateTrainingJob. -
Memanggil titik akhir yang SageMaker dihosting selain.
myEndpoint
catatan
Dalam contoh ini, pengguna masih dapat mengambil tindakan SageMaker API lain dari luar VPC. Untuk informasi tentang cara membatasi panggilan API ke panggilan dari dalam VPC, lihat. Kontrol akses ke SageMaker API dengan menggunakan kebijakan berbasis identitas
Membuat Kebijakan Titik Akhir VPC untuk Toko Fitur Amazon SageMaker
Untuk membuat Endpoint VPC untuk Amazon SageMaker Feature Store, gunakan template endpoint berikut, ganti VPC_ENDPOINT_ID.API dan Region Anda:
VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com
Hubungkan Jaringan Pribadi Anda ke VPC Anda
Untuk memanggil SageMaker API dan SageMaker Runtime melalui VPC Anda, Anda harus terhubung dari instance yang ada di dalam VPC atau menghubungkan jaringan pribadi Anda ke VPC Anda dengan menggunakan () atau. AWS Virtual Private Network AWS VPN AWS Direct Connect Untuk selengkapnya AWS VPN, lihat Koneksi VPN di Panduan Pengguna Amazon Virtual Private Cloud. Untuk selengkapnya AWS Direct Connect, lihat Membuat Sambungan di Panduan Pengguna AWS Direct Connect.
