서브넷에 충분한 IP 주소 확보 Amazon S3 VPC 엔드포인트 생성 Amazon VPC에서 실행 중인 Inference Recommender 작업에 대한 권한을 사용자 지정 IAM 정책에 추가 라우팅 테이블 구성 VPC 보안 그룹 구성

Inference Recommender 작업에 Amazon VPC의 리소스에 대한 액세스 권한 부여

참고

Inference Recommender를 사용하려면 모델 레지스트리에 모델을 등록해야 합니다. 참고로 모델 레지스트리에서는 모델 아티팩트 또는 Amazon ECR 이미지를 VPC로 제한하는 것이 허용되지 않습니다.

또한 Inference Recommender에는 샘플 페이로드 Amazon S3 개체가 VPC 제한을 받지 않아야 한다는 요구 사항도 있습니다. 추론 권장 작업의 경우 프라이빗 VPC의 S3 버킷 액세스 요청만을 허용하는 사용자 지정 정책을 생성하는 것이 좋습니다.

프라이빗 VPC에서 서브넷과 보안 그룹을 지정하려면 API의 CreateInferenceRecommendationsJob요청 파라미터를 사용하거나 RecommendationJobVpcConfig 콘솔에서 추천 작업을 생성할 때 서브넷 및 보안 그룹을 지정하십시오. SageMaker

Inference Recommender는 이 정보를 사용하여 엔드포인트를 생성합니다. 엔드포인트를 프로비저닝할 때 네트워크 인터페이스를 SageMaker 생성하여 엔드포인트에 연결합니다. 네트워크 인터페이스는 엔드포인트에 VPC에 대한 네트워크 연결을 제공합니다. 다음은 CreateInferenceRecommendationsJob작업 호출에 포함할 VpcConfig파라미터의 예입니다.


VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }

Inference Recommender 작업에 사용할 Amazon VPC 구성에 대한 자세한 내용은 다음 항목을 참조하세요.

주제

서브넷에 충분한 IP 주소 확보
Amazon S3 VPC 엔드포인트 생성
Amazon VPC에서 실행 중인 Inference Recommender 작업에 대한 권한을 사용자 지정 IAM 정책에 추가
라우팅 테이블 구성
VPC 보안 그룹 구성

서브넷에 충분한 IP 주소 확보

VPC 서브넷에는 추론 권장 작업의 각 인스턴스에 대해 최소 2개 이상의 이용 가능한 프라이빗 IP 주소가 있어야 합니다. 서브넷 및 프라이빗 IP 주소에 대한 자세한 내용은 Amazon VPC 사용 설명서의 Amazon VPC 작동 방식을 참조하세요.

Amazon S3 VPC 엔드포인트 생성

인터넷 액세스를 차단하도록 VPC를 구성하는 경우 액세스를 허용하는 VPC 엔드포인트를 생성하지 않는 한 Inference Recommender는 모델이 포함된 Amazon S3 버킷에 연결할 수 없습니다. VPC 엔드포인트를 생성하면 SageMaker 추론 추천 작업이 데이터 및 모델 아티팩트를 저장하는 버킷에 액세스할 수 있습니다.

Amazon S3 VPC 엔드포인트를 생성하려면 다음 절차를 사용합니다.

Amazon VPC 콘솔을 엽니다.
탐색 창에서 엔드포인트를 선택하고 엔드포인트 생성을 선택합니다.
서비스 이름에서 com.amazonaws.region.s3를 검색합니다.여기서 region은 VPC가 상주하는 리전의 이름입니다.
게이트웨이 유형을 선택합니다.
VPC에서 이 엔드포인트에 사용할 VPC를 선택합니다.
라우팅 테이블 구성에서 엔드포인트에서 사용할 라우팅 테이블을 선택합니다. VPC 서비스는 사용자가 선택한 각 라우팅 테이블에 Amazon S3 트래픽을 새 엔드포인트로 유도하는 경로를 자동으로 추가합니다.
정책에서 모든 액세스를 선택하여 VPC의 모든 사용자 또는 서비스에 Amazon S3 서비스에 대한 모든 액세스를 허용합니다.

Amazon VPC에서 실행 중인 Inference Recommender 작업에 대한 권한을 사용자 지정 IAM 정책에 추가

AmazonSageMakerFullAccess 관리형 정책은 사용자가 엔드포인트에서 Amazon VPC 액세스에 대해 구성된 모델을 사용해야 하는 권한을 포함합니다. 이러한 권한을 통해 Inference Recommender는 탄력적 네트워크 인터페이스를 생성하여 이를 Amazon VPC에서 실행 중인 추론 권장 작업에 연결할 수 있습니다. 자체 IAM 정책을 사용하는 경우 Amazon VPC 액세스를 위해 구성된 모델을 사용하려면 해당 정책에 다음 권한을 추가해야 합니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}

라우팅 테이블 구성

엔드포인트 라우팅 테이블에 기본 DNS 설정을 사용하여 표준 Amazon S3 URL(예: http://s3-aws-region.amazonaws.com/MyBucket)을 확인합니다. 기본 DNS 설정을 사용하지 않는 경우 엔드포인트 라우팅 테이블을 구성하여 추론 권장 작업 내 데이터 위치를 지정하는 데 사용하는 URL이 해결되는지 확인합니다. VPC 엔드포인트 라우팅 테이블에 대한 자세한 내용은 Amazon VPC 사용 설명서의 라우팅 게이트웨이 엔드포인트를 참조하세요.

VPC 보안 그룹 구성

추론 권장 작업을 위한 보안 그룹에서 Amazon S3 VPC 엔드포인트 및 추론 권장 작업에 사용되는 서브넷 CIDR 범위로의 아웃바운드 통신을 허용해야 합니다. 자세한 내용은 Amazon VPC 사용 설명서의 보안 그룹 규칙 및 Amazon VPC 엔드포인트가 있는 서비스에 대한 액세스 제어를 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

SageMaker 컴파일 작업에 Amazon VPC의 리소스에 대한 액세스 권한을 부여하십시오.

에서 알고리즘 및 패키지를 판매하십시오. AWS Marketplace