Dê aos trabalhos SageMaker de compilação acesso aos recursos em sua Amazon VPC - Amazon SageMaker
Configurar um trabalho de compilação para acesso à Amazon VPCConfigure sua VPC privada para compilação SageMaker

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Dê aos trabalhos SageMaker de compilação acesso aos recursos em sua Amazon VPC

nota

Para trabalhos de compilação, você pode configurar apenas sub-redes com uma VPC de locação padrão em que seu trabalho é executado em hardware compartilhado. Para obter mais informações sobre o atributo de locação para VPCs, consulte Instâncias dedicadas.

Configurar um trabalho de compilação para acesso à Amazon VPC

Para especificar sub-redes e grupos de segurança em sua VPC privada, use o parâmetro de VpcConfig solicitação da CreateCompilationJobAPI ou forneça essas informações ao criar um trabalho de compilação no console. SageMaker SageMaker O Neo usa essas informações para criar interfaces de rede e anexá-las aos seus trabalhos de compilação. As interfaces de rede concedem aos trabalhos de compilação uma conexão de rede na sua VPC, sem acesso à Internet. Além disso, permitem que o trabalho de compilação conecte-se aos recursos da VPC privada. Veja a seguir um exemplo do parâmetro VpcConfig incluído na sua chamada para CreateCompilationJob:

VpcConfig: {"Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

Configure sua VPC privada para compilação SageMaker

Ao configurar a VPC privada para SageMaker seus trabalhos de compilação, use as diretrizes a seguir. Para obter informações sobre como configurar uma VPC, consulte Como trabalhar com VPCs e sub-redes no Guia do usuário da Amazon VPC.

Garanta que as sub-redes tenham endereços IP suficientes

As sub-redes da VPC devem ter pelo menos dois endereços IP privados para cada instância em um trabalho de compilação. Para obter mais informações, consulte Dimensionamento da VPC e da sub-rede para IPv4 no Guia do usuário da Amazon VPC.

Criar um endpoint de VPC do Amazon S3

Se você configurar sua VPC para bloquear o acesso à Internet, o SageMaker Neo não poderá se conectar aos buckets do Amazon S3 que contêm seus modelos, a menos que você crie um endpoint de VPC que permita acesso. Ao criar um VPC endpoint, você permite que seus trabalhos de compilação SageMaker Neo acessem os buckets onde você armazena seus dados e artefatos de modelo. Recomendamos que você também crie uma política personalizada para que apenas solicitações da sua VPC privada acessem os buckets do S3. Para obter mais informações, consulte Endpoints para Amazon S3.

Criação de um VPC endpoint do S3

  1. Abra o console do Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Endpoints e Criar endpoint.

  3. Em Nome do serviço, escolha com.amazonaws.region.s3, em que region é o nome da região em que a VPC reside.

  4. Escolha o tipo de gateway.

  5. Em VPC, escolha a VPC que você deseja usar para esse endpoint.

  6. Para Configurar tabelas de rotas, selecione as tabelas de rotas a serem usadas pelo endpoint. O serviço VPC adiciona automaticamente uma rota a cada tabela de rotas selecionada que aponta qualquer tráfego do S3 para o novo endpoint.

  7. Em Política, escolha Acesso total para permitir acesso total ao serviço do S3 por qualquer usuário ou serviço dentro da VPC. Escolha Personalizar para restringir ainda mais o acesso. Para obter mais informações, consulte Use uma política de endpoint personalizada para restringir o acesso ao S3.

Use uma política de endpoint personalizada para restringir o acesso ao S3

A política de endpoint padrão permite acesso total ao S3 para qualquer usuário ou serviço em sua VPC. Para restringir ainda mais o acesso ao S3, crie uma política de endpoint personalizada. Para obter mais informações, consulte Usar políticas de endpoint para o Amazon S3. Você também pode usar uma política de buckets para restringir o acesso aos seus buckets do S3 somente ao tráfego proveniente da sua Amazon VPC. Para obter informações, consulte Usar as Políticas do Bucket do Amazon S3. Veja a seguir um exemplo de política personalizada:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::your-sample-bucket",
                "arn:aws:s3:::your-sample-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "aws:SourceVpce": [
                        "vpce-01234567890123456"
                    ]
                }
            }
        }
    ]
}

Adicione permissões para trabalhos de compilação em execução em uma Amazon VPC para políticas personalizadas do IAM

A política gerenciada SageMakerFullAccess inclui as permissões que você precisa para usar modelos configurados para acesso à Amazon VPC com um endpoint. Essas permissões permitem que SageMaker o Neo crie uma interface de rede elástica e a anexe ao trabalho de compilação executado em uma Amazon VPC. Se usar sua própria política do IAM, você deverá adicionar as seguintes permissões a essa política para usar modelos configurados para acesso à Amazon VPC.

{"Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}

Para obter mais informações sobre a política gerenciada SageMakerFullAccess, consulte AWS política gerenciada: AmazonSageMakerFullAccess.

Configurar tabelas de rotas

Use as definições padrão de DNS da sua tabela de rotas de endpoint para que os URLs padrão do Amazon S3 (por exemplo, http://s3-aws-region.amazonaws.com/MyBucket) resolvam. Se você não usar essas definições, verifique se os outros URLs que você usa para especificar os locais dos dados dos seus trabalhos de compilação conseguem resolver por meio da configuração de tabelas de rotas de endpoint. Para obter informações sobre as tabelas de rotas de endpoints da VPC, consulte Roteamento para endpoints do gateway no Guia do usuário da Amazon VPC.

Configuração do grupo de segurança da VPC

Em seu grupo de segurança para o trabalho de compilação, você deve permitir a comunicação externa com seus endpoints da Amazon VPC do Amazon S3 e os intervalos CIDR da sub-rede usados para o trabalho de compilação. Para obter mais informações, consulte as Regras de grupos de segurança e Controlar o acesso a serviços com endpoints da Amazon VPC.