Batch Transform 작업에 Amazon 내 리소스에 대한 액세스 권한을 부여하세요 VPC - 아마존 SageMaker
Amazon VPC Access용 Batch Transform 작업 구성 SageMaker Batch 변환을 VPC 위한 프라이빗 구성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Batch Transform 작업에 Amazon 내 리소스에 대한 액세스 권한을 부여하세요 VPC

데이터 및 일괄 변환 작업에 대한 액세스를 제어하려면 프라이빗 VPC Amazon을 생성하고 퍼블릭 인터넷을 통해 작업에 액세스할 수 없도록 구성하는 것이 좋습니다. 모델을 생성할 때 서브넷과 보안 그룹을 지정하여 프라이빗 VPC 구성을 지정합니다. 그런 다음 배치 변환 작업을 만들 때 동일한 모델을 지정합니다. 서브넷과 보안 그룹을 지정하면 서브넷 중 하나에 있는 보안 그룹과 연결된 엘라스틱 네트워크 인터페이스가 SageMaker 생성됩니다. 네트워크 인터페이스를 통해 모델 컨테이너를 내 리소스에 연결할 수 있습니다. VPC 네트워크 인터페이스에 대한 자세한 내용은 Amazon VPC 사용 설명서의 엘라스틱 네트워크 인터페이스를 참조하십시오.

이 문서에서는 배치 변환 작업에 Amazon VPC 구성을 추가하는 방법을 설명합니다.

Amazon VPC Access용 Batch Transform 작업 구성

프라이빗 VPC 서브넷과 보안 그룹을 지정하려면 의 VpcConfig 요청 파라미터를 사용하거나 SageMaker 콘솔에서 모델을 생성할 때 이 정보를 제공하십시오. CreateModelAPI 그런 다음 의 ModelName 요청 파라미터 또는 SageMaker 콘솔에서 변환 작업을 생성할 때 모델 이름 필드에 동일한 모델을 지정합니다. CreateTransformJobAPI SageMaker 이 정보를 사용하여 네트워크 인터페이스를 생성하고 모델 컨테이너에 연결합니다. 네트워크 인터페이스는 인터넷에 연결되지 않은 네트워크 연결을 VPC 모델 컨테이너에 제공합니다. 또한 변환 작업을 비공개에 있는 리소스에 연결할 수 VPC 있습니다.

다음은 CreateModel작업 호출에 포함할 VpcConfig파라미터의 예입니다.

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

CreateModelAPI작업을 사용하여 모델을 생성하는 경우 모델을 만드는 데 사용하는 IAM 실행 역할에는 비공개에 필요한 다음 권한을 포함하여 에서 CreateModel API: 실행 역할 권한 설명한 권한이 포함되어야 VPC 합니다.

콘솔에서 모델을 생성할 때 모델 설정 섹션에서 새 역할 생성을 선택하면 역할을 생성하는 데 사용되는 AmazonSageMakerFullAccess 정책에 이러한 권한이 이미 포함되어 있습니다. 사용자 지정 IAM 역할 입력 ARN 또는 기존 역할 사용을 선택한 경우 ARN 지정하는 역할에는 다음 권한이 첨부된 실행 정책이 있어야 합니다.

{
            "Effect": "Allow",
            "Action": [
            "ec2:CreateNetworkInterface",
            "ec2:CreateNetworkInterfacePermission",
            "ec2:DeleteNetworkInterface",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeVpcs",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeSubnets",
            "ec2:DescribeSecurityGroups"

SageMaker Batch 변환을 VPC 위한 프라이빗 구성

SageMaker 일괄 변환 작업의 VPC 비공개를 구성할 때는 다음 지침을 사용하십시오. 설정에 대한 자세한 내용은 Amazon VPC 사용 설명서의 서브넷 사용 VPCs및 서브넷 사용을 참조하십시오. VPC

서브넷에 충분한 IP 주소를 확보해야 합니다

VPC서브넷에는 변환 작업의 각 인스턴스에 대해 최소 두 개의 사설 IP 주소가 있어야 합니다. 자세한 내용은 Amazon VPC 사용 설명서의 서브넷 크기 조정을 참조하십시오VPC. IPv4

Amazon S3 VPC 엔드포인트 생성

모델 컨테이너가 인터넷에 액세스할 수 VPC 없도록 구성하면 액세스를 허용하는 VPC 엔드포인트를 생성하지 않는 한 데이터가 포함된 Amazon S3 버킷에 연결할 수 없습니다. VPC엔드포인트를 생성하면 모델 컨테이너가 데이터 및 모델 아티팩트를 저장하는 버킷에 액세스할 수 있습니다. 또한 프라이빗 VPC 요청만 S3 버킷에 액세스할 수 있도록 허용하는 사용자 지정 정책을 생성하는 것이 좋습니다. 자세한 내용은 Amazon S3용 엔드포인트를 참조하세요.

S3 VPC 엔드포인트를 만들려면:

  1. 에서 Amazon VPC 콘솔을 엽니다 https://console.aws.amazon.com/vpc/.

  2. 탐색 창에서 엔드포인트를 선택하고 엔드포인트 생성을 선택합니다.

  3. 서비스 이름으로 com.amazonaws를 선택합니다.region.s3, 여기서 region 사용자가 VPC 거주하는 지역의 이름입니다.

  4. 의 VPC 경우 VPC, 이 엔드포인트에 사용할 항목을 선택하십시오.

  5. 라우팅 테이블 구성에서 엔드포인트에서 사용할 라우팅 테이블을 선택합니다. VPC서비스는 선택한 각 라우팅 테이블에 경로를 자동으로 추가하여 모든 S3 트래픽이 새 엔드포인트로 향하도록 합니다.

  6. 정책에서 Full Access를 선택하여 내의 모든 사용자 또는 서비스가 S3 서비스에 완전히 액세스할 수 있도록 VPC 허용하십시오. 액세스 권한을 추가로 제한하려면 사용자 지정을 선택합니다. 자세한 내용은 사용자 지정 엔드포인트 정책을 사용하여 S3에 대한 액세스 제한을 참조하세요.

사용자 지정 엔드포인트 정책을 사용하여 S3에 대한 액세스 제한

기본 엔드포인트 정책은 내 모든 사용자 또는 서비스에 대해 S3에 대한 전체 액세스를 허용합니다VPC. S3에 대한 액세스를 추가로 제한하려면 사용자 지정 엔드포인트 정책을 생성합니다. 자세한 내용은 의 Amazon S3용 엔드포인트 정책 사용을 참조하세요. 또한 버킷 정책을 사용하여 S3 버킷에 대한 액세스를 VPC Amazon에서 들어오는 트래픽으로만 제한할 수 있습니다. 자세한 내용은 Amazon S3용 엔드포인트를 참조하세요.

모델 컨테이너에서 패키지 설치 제한

기본 엔드포인트 정책은 사용자가 훈련 컨테이너에 있는 Amazon Linux 및 Amazon Linux 2 리포지토리에서 패키지를 설치하도록 허용합니다. 사용자가 해당 리포지토리의 패키지를 설치하지 않도록 하려면 Amazon Linux 및 Amazon Linux 2 리포지토리에 대한 액세스를 명시적으로 거부하는 사용자 지정 엔드포인트 정책을 생성합니다. 다음은 이러한 리포지토리에 대한 액세스를 거부하는 정책의 예입니다.

{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

라우팅 테이블 구성

엔드포인트 라우팅 테이블의 기본 DNS 설정을 사용하여 표준 Amazon S3 URLs (예:http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) 가 문제를 해결하도록 하십시오. 기본 DNS 설정을 사용하지 않는 경우, 엔드포인트 라우팅 테이블을 구성하여 배치 변환 작업에서 데이터 위치를 지정하는 데 사용하는 문제가 해결되는지 확인하십시오. URLs VPC엔드포인트 라우팅 테이블에 대한 자세한 내용은 Amazon VPC 사용 설명서의 게이트웨이 엔드포인트 라우팅을 참조하십시오.

VPC보안 그룹 구성

분산형 배치 변환에서는 동일한 배치 변환 작업에서 서로 다른 컨테이너 간 통신을 허용해야 합니다. 이렇게 하려면 동일한 보안 그룹의 구성원 간 인바운드 및 아웃바운드 연결을 허용하는 보안 그룹 규칙을 구성합니다. 동일한 보안 그룹의 구성원은 모든 포트에서 서로 통신할 수 있어야 합니다. 자세한 내용은 보안 그룹 규칙을 참조하세요.

외부 리소스에 연결 VPC

인터넷에 액세스할 수 VPC 없도록 구성한 경우 외부 리소스에 액세스할 수 없는 작업을 사용하는 작업을 일괄 변환하십시오VPC. VPC 배치 변환 작업에 외부 리소스에 액세스해야 하는 경우 다음 옵션 중 하나를 사용하여 액세스를 제공하십시오. VPC

  • 배치 변환 작업에 다음 액세스 권한이 필요한 경우 AWS 인터페이스 VPC 엔드포인트를 지원하는 서비스는 해당 서비스에 연결할 엔드포인트를 생성하세요. 인터페이스 엔드포인트를 지원하는 서비스 목록은 Amazon VPC 사용 설명서의 VPC 엔드포인트를 참조하십시오. 인터페이스 엔드포인트 생성에 대한 자세한 내용은 인터페이스 VPC VPC 엔드포인트 (AWS PrivateLink) Amazon VPC 사용 설명서에 나와 있습니다.

  • 배치 변환 작업에 다음 액세스 권한이 필요한 경우 AWS 인터페이스 VPC 엔드포인트 또는 외부 리소스를 지원하지 않는 서비스 AWS, NAT 게이트웨이를 만들고 아웃바운드 연결을 허용하도록 보안 그룹을 구성하십시오. NAT게이트웨이를 설정하는 방법에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서의 시나리오 2: VPC 퍼블릭 및 프라이빗 서브넷 사용 (NAT) 을 참조하십시오. VPC