기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
SageMaker 컴파일 작업에 Amazon의 리소스에 대한 액세스 권한 부여 VPC
참고
컴파일 작업의 경우 공유 하드웨어에서 작업이 실행되는 기본 테넌시가 VPC 있는 서브넷만 구성할 수 있습니다. 의 테넌시 속성에 대한 VPCs 자세한 내용은 전용 인스턴스를 참조하십시오.
Amazon VPC Access용 컴파일 작업 구성
프라이빗 VPC 서브넷과 보안 그룹을 지정하려면 의 VpcConfig 요청 파라미터를 사용하거나 콘솔에서 컴파일 작업을 생성할 때 이 정보를 제공하십시오. CreateCompilationJobAPI SageMaker SageMaker Neo는 이 정보를 사용하여 네트워크 인터페이스를 만들고 컴파일 작업에 연결합니다. 네트워크 인터페이스는 인터넷에 연결되지 VPC 않은 사용자 내부의 네트워크 연결을 통해 컴파일 작업을 제공합니다. 또한 컴파일 작업을 비공개에 있는 리소스에 연결할 수도 있습니다. VPC 다음은 CreateCompilationJob작업 호출에 포함할 VpcConfig파라미터의 예입니다.
VpcConfig: {"Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] }
컴파일을 VPC 위해 SageMaker 프라이빗을 구성하세요.
SageMaker 컴파일 작업에 사용할 VPC 비공개를 구성할 때는 다음 지침을 따르십시오. 설정에 대한 자세한 내용은 Amazon VPC 사용 설명서의 서브넷 사용 VPCs및 서브넷 사용을 참조하십시오. VPC
주제
서브넷에 충분한 IP 주소를 확보해야 합니다
VPC서브넷에는 컴파일 작업의 각 인스턴스에 대해 최소 두 개의 사설 IP 주소가 있어야 합니다. 자세한 내용은 Amazon VPC 사용 설명서의 서브넷 크기 조정을 참조하십시오VPC. IPv4
Amazon S3 VPC 엔드포인트 생성
인터넷 액세스를 VPC 차단하도록 구성한 경우 액세스를 허용하는 VPC 엔드포인트를 생성하지 않는 한 SageMaker Neo는 모델이 포함된 Amazon S3 버킷에 연결할 수 없습니다. VPC엔드포인트를 생성하면 SageMaker Neo 컴파일 작업이 데이터 및 모델 아티팩트를 저장하는 버킷에 액세스할 수 있습니다. 또한 프라이빗 요청만 S3 버킷에 액세스할 수 있도록 허용하는 사용자 지정 정책을 생성하는 VPC 것이 좋습니다. 자세한 내용은 Amazon S3용 엔드포인트를 참조하세요.
S3 VPC 엔드포인트를 만들려면:
-
에서 Amazon VPC 콘솔을 엽니다 https://console.aws.amazon.com/vpc/
. -
탐색 창에서 엔드포인트를 선택하고 엔드포인트 생성을 선택합니다.
-
서비스 이름으로 com.amazonaws를 검색하십시오.
region.s3, 여기서region사용자가 VPC 거주하는 지역의 이름입니다. -
게이트웨이 유형을 선택합니다.
-
의 VPC 경우 VPC, 이 엔드포인트에 사용할 항목을 선택하십시오.
-
라우팅 테이블 구성에서 엔드포인트에서 사용할 라우팅 테이블을 선택합니다. VPC서비스는 선택한 각 라우팅 테이블에 경로를 자동으로 추가하여 모든 S3 트래픽이 새 엔드포인트로 향하도록 합니다.
-
정책에서 Full Access를 선택하여 내의 모든 사용자 또는 서비스가 S3 서비스에 완전히 액세스할 수 있도록 VPC 허용하십시오. 액세스 권한을 추가로 제한하려면 사용자 지정을 선택합니다. 자세한 내용은 사용자 지정 엔드포인트 정책을 사용하여 S3에 대한 액세스 제한을 참조하세요.
사용자 지정 엔드포인트 정책을 사용하여 S3에 대한 액세스 제한
기본 엔드포인트 정책은 내 모든 사용자 또는 서비스에 대해 S3에 대한 전체 액세스를 허용합니다VPC. S3에 대한 액세스를 추가로 제한하려면 사용자 지정 엔드포인트 정책을 생성합니다. 자세한 내용은 의 Amazon S3용 엔드포인트 정책 사용을 참조하세요. 또한 버킷 정책을 사용하여 S3 버킷에 대한 액세스를 VPC Amazon에서 들어오는 트래픽으로만 제한할 수 있습니다. 자세한 내용은 Amazon S3 버킷 정책 사용을 참조하세요. 다음은 샘플 사용자 지정 정책입니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::your-sample-bucket", "arn:aws:s3:::your-sample-bucket/*" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": [ "vpce-01234567890123456" ] } } } ] }
Amazon에서 실행 중인 컴파일 작업에 대한 권한을 사용자 지정 VPC IAM 정책에 추가
SageMakerFullAccess관리형 정책에는 엔드포인트와 함께 Amazon VPC 액세스를 위해 구성된 모델을 사용하는 데 필요한 권한이 포함되어 있습니다. 이러한 권한을 통해 SageMaker Neo는 Elastic network 인터페이스를 생성하고 Amazon에서 실행 중인 컴파일 작업에 연결할 수 있습니다. VPC 자체 IAM 정책을 사용하는 경우 Amazon VPC 액세스를 위해 구성된 모델을 사용하려면 해당 정책에 다음 권한을 추가해야 합니다.
{"Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "ec2:DescribeVpcEndpoints", "ec2:DescribeDhcpOptions", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "*" } ] }
SageMakerFullAccess 관리형 정책에 대한 자세한 내용은 AWS 관리형 정책: AmazonSageMakerFullAccess을 참조하세요.
라우팅 테이블 구성
엔드포인트 라우팅 테이블의 기본 DNS 설정을 사용하여 표준 Amazon S3 URLs (예:http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) 가 문제를 해결하도록 하십시오. 기본 DNS 설정을 사용하지 않는 경우, 엔드포인트 라우팅 테이블을 구성하여 컴파일 작업에서 데이터 위치를 지정하는 데 사용하는 설정이 해결되는지 확인하십시오. URLs VPC엔드포인트 라우팅 테이블에 대한 자세한 내용은 Amazon VPC 사용 설명서의 게이트웨이 엔드포인트 라우팅을 참조하십시오.
VPC보안 그룹 구성
컴파일 작업을 위한 보안 그룹에서 Amazon S3 Amazon VPC 엔드포인트 및 컴파일 작업에 사용되는 서브넷 CIDR 범위로의 아웃바운드 통신을 허용해야 합니다. 자세한 내용은 보안 그룹 규칙 및 Amazon VPC 엔드포인트를 통한 서비스에 대한 액세스 제어를 참조하십시오.
