VPC SageMaker 내에 연결 - 아마존 SageMaker
VPC 인터페이스 엔드포인트를 SageMaker 통해 연결VPC 내부 리소스를 통한 SageMaker 교육 및 호스팅 사용에 대한 VPC 엔드포인트 정책 생성 SageMakerAmazon SageMaker 피처 스토어에 대한 VPC 엔드포인트 정책 생성VPC에 프라이빗 네트워크 연결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

VPC SageMaker 내에 연결

인터넷을 통해 연결하는 대신 가상 사설 클라우드 (VPC) 의 인터페이스 엔드포인트를 통해 SageMaker API 또는 Amazon SageMaker Runtime에 직접 연결할 수 있습니다. VPC 인터페이스 엔드포인트를 사용하면 VPC와 SageMaker API 또는 Runtime 간의 통신이 네트워크 내에서 완전하고 안전하게 수행됩니다. AWS

VPC 인터페이스 엔드포인트를 SageMaker 통해 연결

SageMaker API 및 SageMaker 런타임은 에서 구동되는 Amazon VPC (가상 사설 클라우드) 인터페이스 엔드포인트를 지원합니다. AWS PrivateLink 각 VPC 엔드포인트는 하나 이상의 탄력적 네트워크 인터페이스 및 VPC 서브넷의 프라이빗 IP 주소로 표현됩니다. 예를 들어, VPC 내부의 애플리케이션은 Runtime과 AWS PrivateLink SageMaker 통신하는 데 사용합니다. SageMaker런타임은 차례로 엔드포인트와 통신합니다. SageMaker 를 AWS PrivateLink 사용하면 다음 다이어그램과 같이 VPC 내에서 SageMaker 엔드포인트를 호출할 수 있습니다.

VPC는 엔드포인트와 AWS PrivateLink 통신하는 데 사용합니다. SageMaker

VPC 인터페이스 엔드포인트는 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 연결을 사용하지 AWS PrivateLink 않고 VPC를 SageMaker API 또는 SageMaker Runtime에 직접 연결합니다. AWS Direct Connect VPC의 인스턴스는 SageMaker API 또는 SageMaker Runtime과 통신하기 위해 퍼블릭 인터넷에 연결할 필요가 없습니다.

또는 AWS Command Line Interface (AWS CLI) 를 사용하여 SageMaker 런타임에 SageMaker 연결하거나 런타임에 연결할 AWS PrivateLink 인터페이스 엔드포인트를 생성할 수 있습니다. AWS Management Console 지침은 인터페이스 VPC AWS 엔드포인트를 사용한 서비스 액세스를 참조하십시오.

VPC 엔드포인트의 프라이빗 DNS (Domain Name System) 호스트 이름을 활성화하지 않은 경우, VPC 엔드포인트를 생성한 후 API 또는 Runtime에 대한 인터넷 엔드포인트 URL을 지정하십시오. SageMaker SageMaker AWS CLI 명령을 사용하여 endpoint-url파라미터를 지정하는 예제 코드는 다음과 같습니다.

aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com  \
    --endpoint-name Endpoint_Name \
    --body "Endpoint_Body" \
    --content-type "Content_Type" \
            Output_File

VPC 엔드포인트에 프라이빗 DNS 호스트 이름을 활성화하는 경우, 기본 호스트 이름(https://api.sagemaker.Region.amazon.com)이 VPC 엔드포인트로 확인되므로 엔드포인트 URL을 지정할 필요가 없습니다. 마찬가지로 기본 SageMaker 런타임 DNS 호스트 이름 (https://runtime.sagemaker. 지역 (.amazonaws.com) 도 VPC 엔드포인트로 확인됩니다.

SageMaker API 및 SageMaker 런타임은 Amazon AWS 리전 VPC와 사용 가능한 모든 곳에서 VPC 엔드포인트를 지원합니다. SageMaker SageMaker VPC Operations내부의 모든 항목에 대한 호출을 지원합니다. 다음 양식을 사용하는 경우 AuthorizedUrl CreatePresignedNotebookInstanceUrl명령을 실행하면 트래픽이 공용 인터넷을 통해 이동합니다. VPC 엔드포인트를 사용하여 미리 서명된 URL에 액세스할 수 있을 뿐만 아니라 요청은 인터넷 게이트웨이를 거쳐야 합니다.

기본적으로 사용자는 회사 네트워크 외부의 사람들과 미리 서명된 URL을 공유할 수 있습니다. 보안을 강화하려면 IAM 권한을 추가하여 네트워크 내에서만 URL을 사용할 수 있도록 제한해야 합니다. IAM 권한에 대한 자세한 내용은 IAM의 AWS PrivateLink작동 방식을 참조하십시오.

참고

SageMaker 런타임 서비스를 위한 VPC 인터페이스 엔드포인트를 설정할 때 (https://runtime.sagemaker. Region.amazonaws.com) 의 경우, VPC 인터페이스 엔드포인트가 클라이언트의 가용 영역에서 활성화되어 있는지 확인해야 프라이빗 DNS 확인이 작동합니다. 그렇지 않으면 URL을 확인하려고 할 때 DNS 오류가 발생할 수 있습니다.

AWS PrivateLink에 대한 자세한 내용은 AWS PrivateLink설명서를 참조하십시오. VPC 엔드포인트 요금은 AWS PrivateLink요금을 참조하십시오. VPC와 엔드포인트에 대한 자세한 내용은 Amazon VPC를 참조하십시오. ID 기반 AWS Identity and Access Management 정책을 사용하여 API 및 런타임에 대한 액세스를 제한하는 방법에 대한 자세한 내용은 을 참조하십시오. SageMaker SageMaker ID 기반 정책을 사용하여 SageMaker API에 대한 액세스를 제어합니다.

VPC 내부 리소스를 통한 SageMaker 교육 및 호스팅 사용

SageMaker 실행 역할을 사용하여 교육 또는 추론 컨테이너와 분리하여 Amazon S3 버킷 및 Amazon Elastic Container Registry (Amazon ECR) 에서 정보를 다운로드하고 업로드합니다. VPC 내에 리소스가 있는 경우에도 해당 리소스에 SageMaker 대한 액세스 권한을 부여할 수 있습니다. 다음 섹션에서는 네트워크 격리를 사용하거나 사용하지 않고 리소스를 사용할 수 있도록 하는 SageMaker 방법을 설명합니다.

네트워크 격리가 활성화되지 않은 상태

교육 작업 또는 모델에 네트워크 분리를 설정하지 않은 경우 다음 방법 중 하나를 사용하여 리소스에 액세스할 SageMaker 수 있습니다.

  • SageMaker 학습 및 배포된 추론 컨테이너는 기본적으로 인터넷에 액세스할 수 있습니다. SageMaker 컨테이너는 교육 및 추론 워크로드의 일부로 공용 인터넷의 외부 서비스 및 리소스에 액세스할 수 있습니다. SageMaker 컨테이너는 다음 그림과 같이 VPC 구성 없이는 VPC 내부의 리소스에 액세스할 수 없습니다.

    SageMaker VPC 구성 없이는 VPC 내부의 리소스에 액세스할 수 없습니다.

  • VPC 구성을 사용하여 탄력적 네트워크 인터페이스(ENI)를 통해 VPC 내부 리소스와 통신할 수 있습니다. 다음 그림과 같이 컨테이너와 VPC의 리소스 간의 통신은 VPC 네트워크 내에서 안전하게 이루어집니다. 이 경우 VPC 리소스 및 인터넷에 대한 네트워킹 액세스를 관리합니다.

    SageMaker VPC 구성을 통해 VPC 내부의 리소스에 액세스하고 리소스와 통신할 수 있습니다.

네트워크 격리 사용 시

네트워크 격리를 사용하는 경우 다음 그림과 같이 SageMaker 컨테이너는 VPC 내부의 리소스와 통신하거나 네트워크 호출을 할 수 없습니다. VPC 구성을 제공하면 VPC를 통해 다운로드 및 업로드 작업이 실행됩니다. VPC를 사용하는 동안 네트워크 격리를 통한 호스팅 및 훈련에 대한 자세한 내용은 네트워크 격리을 참조하십시오.

SageMaker VPC 구성을 통해 VPC 내부의 리소스에 액세스하고 리소스와 통신할 수 있습니다.

Amazon VPC 엔드포인트에 대한 정책을 SageMaker 생성하여 다음을 지정할 수 있습니다.

  • 작업을 수행할 수 있는 보안 주체.

  • 수행할 수 있는 작업.

  • 작업을 수행할 있는 리소스.

자세한 내용은 Amazon VPC 사용 설명서VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하십시오.

참고

VPC 엔드포인트 정책은 FIPS (연방 정보 처리 표준) SageMaker 런타임 엔드포인트에 대해 지원되지 않습니다. runtime_InvokeEndpoint

다음 예제 VPC 엔드포인트 정책은 VPC 인터페이스 엔드포인트에 액세스할 수 있는 모든 사용자가 라는 호스팅된 엔드포인트를 호출할 수 있도록 지정합니다. SageMaker myEndpoint 

{
  "Statement": [
      {
          "Action": "sagemaker:InvokeEndpoint",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
          "Principal": "*"
      }
  ]
}

이 예제에서 다음은 거부됩니다.

  • 기타 SageMaker API 작업 (예: 및) sagemaker:CreateEndpoint sagemaker:CreateTrainingJob

  • 이외의 SageMaker 호스팅된 엔드포인트 호출 myEndpoint

참고

이 예제에서 사용자는 여전히 VPC 외부에서 다른 SageMaker API 작업을 수행할 수 있습니다. API 호출을 VPC 내부의 API 호출로 제한하는 방법에 대한 자세한 내용은 ID 기반 정책을 사용하여 SageMaker API에 대한 액세스를 제어합니다.을 참조하십시오.

Amazon SageMaker 피처 스토어용 VPC 엔드포인트를 생성하려면 VPC_Endpoint_ID.API 및 리전으로 대체하여 다음 엔드포인트 템플릿을 사용하십시오.

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

VPC를 통해 SageMaker API 및 SageMaker Runtime을 호출하려면 VPC 내부의 인스턴스에서 연결하거나 () 또는 를 사용하여 VPC에 프라이빗 네트워크를 연결해야 합니다. AWS Virtual Private Network AWS VPN AWS Direct Connect AWS VPN에 대한 내용은 Amazon Virtual Private Cloud 사용 설명서VPN 연결을 참조하십시오. AWS Direct Connect에 대한 자세한 내용은 AWS직접 연결 사용 설명서연결 생성을 참조하십시오.