Jalankan Kontainer Pelatihan dan Inferensi dalam Mode Bebas Internet - Amazon SageMaker
Isolasi Jaringan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Jalankan Kontainer Pelatihan dan Inferensi dalam Mode Bebas Internet

SageMaker pelatihan dan wadah inferensi yang diterapkan diaktifkan internet secara default. Ini memungkinkan kontainer untuk mengakses layanan dan sumber daya eksternal di internet publik sebagai bagian dari beban kerja pelatihan dan inferensi Anda. Namun, ini dapat memberikan jalan untuk akses tidak sah ke data Anda. Misalnya, pengguna atau kode jahat yang tidak sengaja Anda instal di wadah (dalam bentuk pustaka kode sumber yang tersedia untuk umum) dapat mengakses data Anda dan mentransfernya ke host jarak jauh.

Jika Anda menggunakan Amazon VPC dengan menentukan nilai untuk VpcConfig parameter saat Anda menelepon CreateTrainingJob,, atau CreateHyperParameterTuningJobCreateModel, Anda dapat melindungi data dan sumber daya Anda dengan mengelola grup keamanan dan membatasi akses internet dari Anda. VPC Namun, ini datang dengan biaya konfigurasi jaringan tambahan, dan memiliki risiko mengkonfigurasi jaringan Anda secara tidak benar. Jika Anda tidak SageMaker ingin memberikan akses jaringan eksternal ke wadah pelatihan atau inferensi Anda, Anda dapat mengaktifkan isolasi jaringan.

Isolasi Jaringan

Anda dapat mengaktifkan isolasi jaringan saat membuat pekerjaan atau model pelatihan dengan menyetel nilai EnableNetworkIsolation parameter True saat Anda menelepon CreateTrainingJob, CreateHyperParameterTuningJob, atau CreateModel.

catatan

Isolasi jaringan diperlukan untuk menjalankan pekerjaan pelatihan dan model menggunakan sumber daya dari AWS Marketplace. Untuk keamanan tambahan, AWS Marketplace gambar berjalan di dalam AmazonVPC. Mereka hanya memiliki akses ke data dalam sistem file lokal mereka.

Jika Anda mengaktifkan isolasi jaringan, kontainer tidak dapat melakukan panggilan jaringan keluar, bahkan ke yang lain AWS layanan seperti Amazon S3. Selain itu, tidak AWS kredensil tersedia untuk lingkungan runtime kontainer. Dalam kasus pekerjaan pelatihan dengan beberapa contoh, lalu lintas masuk dan keluar jaringan terbatas pada rekan-rekan dari setiap wadah pelatihan. SageMaker masih menjalankan operasi pengunduhan dan pengunggahan terhadap Amazon S3 menggunakan peran SageMaker eksekusi Anda secara terpisah dari wadah pelatihan atau inferensi.

SageMaker Kontainer terkelola berikut tidak mendukung isolasi jaringan karena memerlukan akses ke Amazon S3:

  • Chainer

  • SageMaker Pembelajaran Penguatan

Isolasi jaringan dengan a VPC

Isolasi jaringan dapat digunakan bersama dengan aVPC. Dalam skenario ini, pengunduhan dan pengunggahan data pelanggan dan artefak model dirutekan melalui subnet AndaVPC. Namun, wadah pelatihan dan inferensi itu sendiri terus diisolasi dari jaringan, dan tidak memiliki akses ke sumber daya apa pun di dalam Anda VPC atau di internet.