Executar contêineres de treinamento e inferência no modo sem Internet

SageMaker os contêineres de treinamento e inferência implantados são habilitados para a Internet por padrão. Isso permite que contêineres acessem serviços e recursos externos na Internet pública como parte de suas cargas de trabalho de treinamento e inferência. No entanto, isso pode fornecer um caminho para o acesso não autorizado aos seus dados. Por exemplo, um usuário ou código mal-intencionado que você instala acidentalmente no contêiner (na forma de uma biblioteca de código-fonte disponível publicamente) pode acessar seus dados e transferi-los para um host remoto.

Se você usa uma Amazon VPC especificando um valor para o VpcConfig parâmetro ao ligar CreateTrainingJob,, ou CreateHyperParameterTuningJobCreateModel, você pode proteger seus dados e recursos gerenciando grupos de segurança e restringindo o acesso à Internet a partir do seu. VPC No entanto, isso ocorre com o custo de configuração de rede adicional e corre o risco de configurar sua rede incorretamente. Se você não quiser fornecer acesso externo SageMaker à rede aos seus contêineres de treinamento ou inferência, você pode ativar o isolamento da rede.

Isolamento de rede

Você pode habilitar o isolamento de rede ao criar seu trabalho ou modelo de treinamento definindo o valor do parâmetro EnableNetworkIsolation como True quando você chama CreateTrainingJob, CreateHyperParameterTuningJob ou CreateModel.

nota

O isolamento da rede é necessário para executar trabalhos e modelos de treinamento usando recursos do AWS Marketplace. Para maior segurança, AWS Marketplace imagens são executadas em uma AmazonVPC. Eles só têm acesso aos dados em seus sistemas de arquivos locais.

Se você habilitar o isolamento de rede, os contêineres não poderão fazer nenhuma chamada de rede de saída, mesmo para outros AWS serviços como o Amazon S3. Além disso, não AWS as credenciais são disponibilizadas para o ambiente de execução do contêiner. No caso de um trabalho de treinamento com várias instâncias, o tráfego de entrada e saída da rede é limitado aos pares de cada contêiner de treinamento. SageMaker ainda executa operações de download e upload no Amazon S3 usando sua função de SageMaker execução isoladamente do contêiner de treinamento ou inferência.

Os seguintes SageMaker contêineres gerenciados não oferecem suporte ao isolamento de rede porque exigem acesso ao Amazon S3:

Chainer
SageMaker Aprendizagem por reforço

Isolamento de rede com um VPC

O isolamento de rede pode ser usado em conjunto com umVPC. Nesse cenário, o download e o upload dos dados do cliente e dos artefatos do modelo são roteados pela sua VPC sub-rede. No entanto, os próprios contêineres de treinamento e inferência continuam isolados da rede e não têm acesso a nenhum recurso dentro de você VPC ou na Internet.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Conectar uma instância de notebook em um VPC a recursos externos

Connect to SageMaker Within your VPC