允许 SageMaker 访问您的 Amazon VPC 中的资源

SageMaker 默认情况下，在 Amazon Virtual Private Cloud 中运行以下任务类型。

• Processing

• 训练

• 模型托管

• 批量转换

• 亚马逊 SageMaker 澄清

• SageMaker 汇编

但是，这些任务的容器会通过互联网访问 AWS 资源，例如用于存储训练数据和模型工件的亚马逊简单存储服务 (Amazon S3) Service 存储桶。

要控制对数据和作业容器的访问，我们建议您创建一个私有 VPC，并将其配置为无法通过互联网进行访问。有关创建和配置 VPC 的信息，请参阅《Amazon VPC 用户指南》中的 Amazon VPC 入门。使用 VPC 有助于保护您的作业容器和数据，因为您可以配置 VPC 以使其不连接到互联网。使用 VPC，您还可以通过 VPC 流日志来监控进出作业容器的所有网络流量。有关更多信息，请参阅《Amazon VPC 用户指南》中的 VPC 流日志。

创建作业时，您通过指定子网和安全组来指定私有 VPC 配置。当您指定子网和安全组时， SageMaker 会在其中一个子网中创建与您的安全组关联的弹性网络接口。网络接口可将您的作业容器连接到 VPC 中的资源。有关网络接口的信息，请参阅《Amazon VPC 用户指南》中的弹性网络接口。

您可以在 Jo CreateProcessingb 操作或 CreateTrainingJ ob 操作的VpcConfig对象中指定 VPC 配置。在创建训练任务时指定 VPC 配置可以让您的模型访问您的 VPC 中的资源。

仅指定 VPC 配置不会更改调用路径。要在 VPC SageMaker 内连接到 Amazon，请创建一个 VPC 终端节点并调用它。有关更多信息，请参阅 SageMaker 在您的 VPC 内连接。

主题

• 为 SageMaker 处理任务提供访问您的 Amazon VPC 中资源的权限
• 让 SageMaker 训练作业访问您的 Amazon VPC 中的资源
• 允许 SageMaker 托管终端节点访问您的 Amazon VPC 中的资源
• 为批量转换作业授予 Amazon VPC 中的资源的访问权限
• 让 Amazon SageMaker Clarify Jobs 访问您的亚马逊 VPC 中的资源
• 允许 SageMaker 编译任务访问您的 Amazon VPC 中的资源
• 授予 Inference Recommender 作业访问 Amazon VPC 中资源的权限