As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
SageMaker O treinamento de IA e os contêineres de inferência implantados são habilitados para a Internet por padrão. Isso permite que contêineres acessem serviços e recursos externos na Internet pública como parte de suas workloads de treinamento e inferência. No entanto, isso pode fornecer um caminho para o acesso não autorizado aos seus dados. Por exemplo, um usuário ou código mal-intencionado que você instala acidentalmente no contêiner (na forma de uma biblioteca de código-fonte disponível publicamente) pode acessar seus dados e transferi-los para um host remoto.
Se você usar uma Amazon VPC especificando um valor para o parâmetro VpcConfig quando chamar CreateTrainingJob, CreateHyperParameterTuningJob, ou CreateModel, poderá proteger seus dados e recursos gerenciando grupos de segurança e restringindo o acesso à Internet em sua VPC. No entanto, isso ocorre com o custo de configuração de rede adicional e corre o risco de configurar sua rede incorretamente. Se você não quiser que a SageMaker IA forneça acesso externo à rede aos seus contêineres de treinamento ou inferência, você pode ativar o isolamento da rede.
Isolamento de rede
Você pode habilitar o isolamento de rede ao criar seu trabalho ou modelo de treinamento definindo o valor do parâmetro EnableNetworkIsolation como True quando você chama CreateTrainingJob, CreateHyperParameterTuningJob ou CreateModel.
nota
O isolamento de rede é necessário para executar trabalhos e modelos de treinamento usando recursos do AWS Marketplace. Para maior segurança, AWS Marketplace as imagens são executadas em uma Amazon VPC. Eles só têm acesso aos dados em seus sistemas de arquivos locais.
Se você habilitar o isolamento da rede, os contêineres não poderão fazer nenhuma chamada de rede externa, mesmo para outros AWS serviços, como o Amazon S3. Além disso, nenhuma AWS credencial é disponibilizada para o ambiente de execução do contêiner. No caso de um trabalho de treinamento com várias instâncias, o tráfego de entrada e saída da rede é limitado aos pares de cada contêiner de treinamento. SageMaker A IA ainda realiza operações de download e upload no Amazon S3 usando sua função de execução de SageMaker IA isoladamente do contêiner de treinamento ou inferência.
Os seguintes contêineres de SageMaker IA gerenciados não oferecem suporte ao isolamento de rede porque exigem acesso ao Amazon S3:
-
Chainer
-
SageMaker Aprendizagem por reforço de IA
Isolamento de rede com uma VPC
O isolamento de rede pode ser usado em conjunto com uma VPC. Nesse cenário, o download e o upload de dados do cliente e artefatos de modelo são roteados por meio da sua sub-rede da VPC. No entanto, os próprios contêineres de treinamento e inferência continuam isolados da rede e não têm acesso a nenhum recurso dentro da sua VPC ou na Internet.
