本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
您可以通过虚拟私有云 (VPC) 中的接口终端节点直接连接到 SageMaker API 或 Amazon SageMaker Runtime,而不必通过互联网进行连接。当您使用 VPC 接口终端节点时,您的 VPC 与 SageMaker AI API 或运行时之间的通信将在 AWS 网络中完全安全地进行。
通过 VPC 接口终端节点连接到 SageMaker AI
SageMaker API 和 SageMaker AI 运行时支持由提供支持的亚马逊虚拟私有云(亚马逊 VPC)接口终端节点AWS PrivateLink
VPC 接口终端节点 AWS PrivateLink 无需使用互联网网关、N SageMaker AT 设备、VPN 连接或连接,即可将您的 VPC 直接连接到 SageMaker API 或 AWS Direct Connect AI 运行时。您的 VPC 中的实例无需连接到公共互联网即可与 SageMaker API 或 SageMaker AI 运行时通信。
您可以使用或 AWS Command Line Interface (AWS CLI) 创建 AWS PrivateLink 接口端点以 SageMaker 连接到 SageMaker AI AWS Management Console 或 AI 运行时。有关说明,请参阅使用接口 VPC 终端节点访问 AWS 服务。
如果您尚未为 VPC 终端节点启用私有域名系统 (DNS) 主机名,请在创建 VPC 终端节点后,指定 SageMaker API 或 SageMaker AI 运行时的互联网终端节点 URL。以下是使用 AWS CLI 命令指定endpoint-url参数的示例代码。
aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \
--endpoint-name Endpoint_Name \
--body "Endpoint_Body" \
--content-type "Content_Type" \
Output_File如果您为 VPC 终端节点启用私有 DNS 主机名,则无需指定终端节点 URL,因为默认主机名 (https://api.sagemaker. Region.amazon.com) 解析到您的 VPC 终端节点。同样,默认的 SageMaker AI 运行时 DNS 主机名 (https://runtime.sagemaker。 Region.amazonaws.com) 也会解析到您的 VPC 终端节点。
在 A mazon VPC 和 SageMaker AI 可用的所有 AWS 区域 区域, SageMaker API 和 A SageMaker I 运行时都支持 VPC 终端节点。 SageMaker AI 支持在您的 VPC Operations内对其所有设备进行调用。如果你使用来AuthorizedUrl自
CreatePresignedNotebookInstanceUrl命令,你的流量将通过公共互联网。您不能只使用 VPC 端点访问预先指定的 URL,请求必须通过互联网网关。
默认情况下,用户可以与企业网络以外的人共享预先指定的 URL。为提高安全性,您必须添加 IAM 权限,以限制 URL 只能在网络内使用。有关 IAM 权限的信息,请参阅如何 AWS PrivateLink 使用 IAM。
注意
为 SageMaker AI Runtime 服务设置 VPC 接口终端节点时 (https://runtime.sagemaker。 Region
要了解更多信息 AWS PrivateLink,请参阅AWS PrivateLink 文档。请参阅 AWS PrivateLink 定价
在您的 VPC 内使用 SageMaker 培训和托管资源
SageMaker AI 使用您的执行角色从 Amazon S3 存储桶和亚马逊弹性容器注册表 (Amazon ECR) Container Registry 下载和上传信息,与您的训练或推理容器隔离开来。如果您的资源位于您的 VPC 内,您仍然可以向 SageMaker AI 授予对这些资源的访问权限。以下各节介绍如何在网络隔离或不使用网络隔离的情况下向 SageMaker AI 提供您的资源。
未启用网络隔离
如果您尚未在训练作业或模型上设置网络隔离, SageMaker AI 可以使用以下任一方法访问资源。
-
SageMaker 默认情况下,训练和部署的推理容器可以访问互联网。 SageMaker 作为训练和推理工作负载的一部分,AI 容器能够访问公共互联网上的外部服务和资源。 SageMaker 如果没有 VPC 配置,AI 容器就无法访问您的 VPC 内的资源,如下图所示。
-
使用 VPC 配置,通过弹性网络接口 (ENI) 与 VPC 内的资源进行通信。容器和 VPC 内资源之间的通信在您的 VPC 网络中安全地进行,如下图所示。在这种情况下,您可以管理对 VPC 资源和互联网的网络访问。
采用网络隔离
如果您采用网络隔离,则 SageMaker AI 容器无法与您的 VPC 内的资源通信或进行任何网络调用,如下图所示。如果您提供 VPC 配置,则将通过您的 VPC 运行下载和上传操作。有关使用 VPC 时通过网络隔离进行托管和训练的更多信息,请参阅网络隔离。
为 A SageMaker I 创建 VPC 终端节点策略
您可以为 A SageMaker I 的 Amazon VPC 终端节点创建策略,以指定以下内容:
-
可执行操作的主体。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问权限。
注意
联邦信息处理标准 (FIPS) 的 SageMaker AI 运行时终端节点不支持 VPC 终端节点策略 runtime_InvokeEndpoint.
以下示例 VPC 终端节点策略指定允许有权访问 VPC 接口终端节点的所有用户调用名为的 SageMaker AI 托管终端节点myEndpoint。
{
"Statement": [
{
"Action": "sagemaker:InvokeEndpoint",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
"Principal": "*"
}
]
}在本示例中,会拒绝以下操作:
-
其他 SageMaker API 操作,例如
sagemaker:CreateEndpoint和sagemaker:CreateTrainingJob。 -
调用除之外的 SageMaker AI 托管终端节点。
myEndpoint
注意
在此示例中,用户仍然可以从 VPC 外部执行其他 SageMaker API 操作。有关如何将 API 调用限制为该 VPC 中执行的那些调用的信息,请参阅 使用基于身份的策略控制对 SageMaker AI API 的访问权限。
为亚马逊 SageMaker 功能商店创建 VPC 终端节点策略
要为 Amazon Feature Store 创建 VPC 终端节 SageMaker 点,请使用以下终端节点模板,替换您的VPC_Endpoint_ID.api和Region:
VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com
将您的专用网络连接到 VPC
要通过您的 VPC 调用 SageMaker AP SageMaker I 和 AI 运行时,您必须从 VPC 内的实例进行连接,或者使用 AWS Virtual Private Network (AWS VPN) 或将您的私有网络连接到 VPC AWS Direct Connect。有关信息 AWS VPN,请参阅《Amazon Virtual Private Cloud 用户指南》中的 VPN 连接。有关信息 AWS Direct Connect,请参阅 D i AWS rect Connect 用户指南中的创建连接。
