As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Dê aos endpoints SageMaker hospedados acesso aos recursos em sua Amazon VPC
Configurar um modelo para o Amazon VPC Access
Para especificar sub-redes e grupos de segurança em sua conta privadaVPC, use o parâmetro de VpcConfig solicitação do CreateModelAPIou forneça essas informações ao criar um modelo no SageMaker console. SageMaker usa essas informações para criar interfaces de rede e anexá-las aos contêineres do modelo. As interfaces de rede fornecem aos contêineres modelo uma conexão de rede dentro da sua VPC que não está conectada à Internet. Eles também permitem que seu modelo se conecte a recursos em sua privacidadeVPC.
nota
Você deve criar pelo menos duas sub-redes em diferentes zonas de disponibilidade na sua conta privadaVPC, mesmo que tenha apenas uma instância de hospedagem.
Veja a seguir um exemplo do parâmetro VpcConfig incluído na sua chamada para CreateModel:
VpcConfig: { "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] }
Configure sua VPC SageMaker hospedagem privada
Ao configurar o privado VPC para seus SageMaker modelos, use as diretrizes a seguir. Para obter informações sobre como configurar umVPC, consulte Trabalho com VPCs sub-redes no Guia VPCdo usuário da Amazon.
Tópicos
- Garanta que as sub-redes tenham endereços IP suficientes
- Crie um endpoint Amazon S3 VPC
- Usar uma política de endpoint personalizada para restringir o acesso ao Amazon S3
- Adicione permissões de acesso ao endpoint para contêineres executados em uma VPC às políticas personalizadas IAM
- Configurar tabelas de rotas
- Conecte-se a recursos fora do seu VPC
Garanta que as sub-redes tenham endereços IP suficientes
As instâncias de treinamento que não usam um adaptador Elastic Fabric (EFA) devem ter pelo menos dois endereços IP privados. As instâncias de treinamento que usam an EFA devem ter pelo menos 5 endereços IP privados. Para obter mais informações, consulte Vários endereços IP no Guia do EC2 usuário da Amazon.
Crie um endpoint Amazon S3 VPC
Se você configurar seu modelo de VPC forma que os contêineres não tenham acesso à Internet, eles não poderão se conectar aos buckets do Amazon S3 que contêm seus dados, a menos que você crie um VPC endpoint que permita o acesso. Ao criar um VPC endpoint, você permite que seus contêineres de modelo acessem os buckets onde você armazena seus dados e artefatos do modelo. Recomendamos que você também crie uma política personalizada que permita que somente solicitações de sua conta privada VPC acessem seus buckets do S3. Para obter mais informações, consulte Endpoints para Amazon S3.
Para criar um endpoint do Amazon S3: VPC
-
Abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/
. -
No painel de navegação, selecione Endpoints e Criar endpoint.
-
Em Nome do serviço, escolha com.amazonaws.
region.s3, onderegioné o nome do AWS Região onde você VPC reside. -
Para VPC, escolha o VPC que você deseja usar para esse endpoint.
-
Para Configurar tabelas de rotas, selecione as tabelas de rotas que o endpoint usará. O VPC serviço adiciona automaticamente uma rota a cada tabela de rotas que você escolhe para direcionar o tráfego do Amazon S3 para o novo endpoint.
-
Em Política, escolha Acesso total para permitir acesso total ao serviço Amazon S3 por qualquer usuário ou serviço dentro do. VPC Para restringir ainda mais o acesso, escolha Personalizar. Para obter mais informações, consulte Usar uma política de endpoint personalizada para restringir o acesso ao Amazon S3.
Usar uma política de endpoint personalizada para restringir o acesso ao Amazon S3
A política de endpoint padrão permite acesso total ao Amazon Simple Storage Service (Amazon S3) para qualquer usuário ou serviço em seu. VPC Para restringir ainda mais o acesso ao Amazon S3, crie uma política de endpoint personalizada. Para obter mais informações, consulte Usar políticas de endpoint para o Amazon S3.
Você também pode usar uma política de bucket para restringir o acesso aos buckets do S3 somente ao tráfego proveniente da Amazon. VPC Para obter informações, consulte Usar as Políticas do Bucket do Amazon S3.
Restringir a instalação do pacote no contêiner de modelo com uma política de endpoint personalizada
A política de endpoint padrão permite que os usuários instalem pacotes dos repositórios do Amazon Linux e do Amazon Linux 2 no contêiner de modelo. Se você não deseja que os usuários instalem pacotes desses repositórios, crie uma política de endpoint personalizada que negue explicitamente o acesso aos repositórios do Amazon Linux e Amazon Linux 2. Veja a seguir um exemplo de política que nega acesso somente a esses repositórios:
{ "Statement": [ { "Sid": "AmazonLinuxAMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::packages.*.amazonaws.com/*", "arn:aws:s3:::repo.*.amazonaws.com/*" ] } ] } { "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" ] } ] }
Adicione permissões de acesso ao endpoint para contêineres executados em uma VPC às políticas personalizadas IAM
A política SageMakerFullAccess gerenciada inclui as permissões necessárias para usar modelos configurados para VPC acesso à Amazon com um endpoint. Essas permissões permitem SageMaker criar uma interface de rede elástica e anexá-la a contêineres de modelo executados em umVPC. Se você usar sua própria IAM política, deverá adicionar as seguintes permissões a essa política para usar modelos configurados para VPC acesso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeVpcEndpoints", "ec2:DescribeDhcpOptions", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateNetworkInterface" ], "Resource": "*" } ] }
Para obter mais informações sobre a política gerenciada SageMakerFullAccess, consulte AWS política gerenciada: AmazonSageMakerFullAccess.
Configurar tabelas de rotas
Use DNS as configurações padrão para sua tabela de rotas de endpoints, para que o Amazon URLs S3 padrão (por exemplohttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket,) resolva. Se você não usar DNS as configurações padrão, certifique-se de URLs que as usadas para especificar os locais dos dados em seus modelos sejam resolvidas configurando as tabelas de rotas do endpoint. Para obter informações sobre tabelas de rotas de VPC endpoints, consulte Roteamento para endpoints de gateway no Guia do usuário da Amazon VPC.
Conecte-se a recursos fora do seu VPC
Se você configurar o seu VPC para que ele não tenha acesso à Internet, os modelos que o usam VPC não têm acesso a recursos fora do seuVPC. Se seu modelo precisar acessar recursos fora do seuVPC, forneça acesso com uma das seguintes opções:
-
Se o seu modelo precisar acessar um AWS serviço que suporta VPC endpoints de interface, crie um endpoint para se conectar a esse serviço. Para obter uma lista de serviços que oferecem suporte a endpoints de interface, consulte VPCEndpoints no Guia VPCdo usuário da Amazon. Para obter informações sobre como criar um VPC endpoint de interface, consulte Interface VPC Endpoints (AWS PrivateLink) no Guia do VPC usuário da Amazon.
-
Se o seu modelo precisar acessar um AWS serviço que não oferece suporte a VPC endpoints de interface ou a um recurso fora do AWS, crie um NAT gateway e configure seus grupos de segurança para permitir conexões de saída. Para obter informações sobre como configurar um NAT gateway para vocêVPC, consulte Cenário 2: VPC com sub-redes públicas e privadas (NAT) no Guia do usuário da Amazon Virtual Private Cloud.
