Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Geben Sie Batch Transform Jobs Zugriff auf Ressourcen in Ihrem Amazon VPC
Um den Zugriff auf Ihre Daten und Batch-Transformationsaufträge zu kontrollieren, empfehlen wir Ihnen, ein privates Amazon zu erstellen VPC und es so zu konfigurieren, dass Ihre Jobs nicht über das öffentliche Internet zugänglich sind. Sie geben Ihre private VPC Konfiguration an, wenn Sie ein Modell erstellen, indem Sie Subnetze und Sicherheitsgruppen angeben. Anschließend geben Sie das gleiche Modell an wie bei der Erstellung eines Stapeltransformationsauftrags. Wenn Sie die Subnetze und Sicherheitsgruppen angeben, werden elastische Netzwerkschnittstellen SageMaker erstellt, die Ihren Sicherheitsgruppen in einem der Subnetze zugeordnet sind. Netzwerkschnittstellen ermöglichen es Ihren Modellcontainern, eine Verbindung zu Ressourcen in Ihrem herzustellen. VPC Informationen zu Netzwerkschnittstellen finden Sie unter Elastic Network Interfaces im VPCAmazon-Benutzerhandbuch.
In diesem Dokument wird erklärt, wie VPC Amazon-Konfigurationen für Batch-Transformationsjobs hinzugefügt werden.
Einen Batch-Transformationsjob für Amazon VPC Access konfigurieren
Um Subnetze und Sicherheitsgruppen in Ihrem privaten Bereich anzugebenVPC, verwenden Sie den VpcConfig Anforderungsparameter von oder geben Sie diese Informationen an CreateModelAPI, wenn Sie ein Modell in der SageMaker Konsole erstellen. Geben Sie dann dasselbe Modell im ModelName Anforderungsparameter von oder im Feld Modellname an CreateTransformJobAPI, wenn Sie einen Transformationsauftrag in der SageMaker Konsole erstellen. SageMaker verwendet diese Informationen, um Netzwerkschnittstellen zu erstellen und sie an Ihre Modellcontainer anzuhängen. Die Netzwerkschnittstellen stellen Ihren Modellcontainern eine Netzwerkverbindung innerhalb Ihres Containers zur VerfügungVPC, die nicht mit dem Internet verbunden ist. Sie ermöglichen es Ihrem Transformationsjob auch, eine Verbindung zu Ressourcen in Ihrem privaten Bereich herzustellenVPC.
Im Folgenden sehen Sie ein Beispiel des Parameters VpcConfig, den Sie in Ihrem Aufruf zu CreateModel hinzufügen:
VpcConfig: { "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] }
Wenn Sie mithilfe des CreateModel API Vorgangs ein Modell erstellen, muss die IAM Ausführungsrolle, mit der Sie Ihr Modell erstellen, die unter beschriebenen Berechtigungen enthaltenCreateModel API: Berechtigungen für die Ausführungsrolle, einschließlich der folgenden Berechtigungen, die für ein privates Modell erforderlich sindVPC.
Wenn Sie beim Erstellen eines Modells in der Konsole im Abschnitt Modelleinstellungen die Option Neue Rolle erstellen auswählen, enthält die AmazonSageMakerFullAccess
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups"
Konfigurieren Sie Ihr Private VPC für SageMaker Batch Transform
Beachten Sie bei der Konfiguration von Private VPC für Ihre SageMaker Batch-Transformationsaufträge die folgenden Richtlinien. Informationen zur Einrichtung von finden Sie unter Arbeiten mit VPCs und Subnetzen im VPCAmazon-Benutzerhandbuch. VPC
Themen
- Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben
- Erstellen Sie einen Amazon S3 VPC S3-Endpunkt
- Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3
- Konfigurieren der Routing-Tabellen
- Konfigurieren Sie die VPC Sicherheitsgruppe
- Connect zu Ressourcen außerhalb Ihres her VPC
Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben
Ihre VPC Subnetze sollten mindestens zwei private IP-Adressen für jede Instance in einem Transformationsjob haben. Weitere Informationen finden Sie unter VPCund Subnet Sizing for IPv4 im VPCAmazon-Benutzerhandbuch.
Erstellen Sie einen Amazon S3 VPC S3-Endpunkt
Wenn Sie Ihre VPC so konfigurieren, dass Modellcontainer keinen Zugriff auf das Internet haben, können sie keine Verbindung zu den Amazon S3 S3-Buckets herstellen, die Ihre Daten enthalten, es sei denn, Sie erstellen einen VPC Endpunkt, der den Zugriff ermöglicht. Indem Sie einen VPC Endpunkt erstellen, ermöglichen Sie Ihren Modellcontainern den Zugriff auf die Buckets, in denen Sie Ihre Daten und Modellartefakte speichern. Wir empfehlen Ihnen, auch eine benutzerdefinierte Richtlinie zu erstellen, die nur Anfragen von Ihrem privaten Benutzer den VPC Zugriff auf Ihre S3-Buckets ermöglicht. Weitere Informationen finden Sie unter Endpunkte für Amazon S3.
So erstellen Sie einen VPC S3-Endpunkt:
-
Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/
. -
Wählen Sie im Navigationsbereich Endpoints (Endpunkte) und anschließend Create Endpoint (Endpunkt erstellen) aus.
-
Wählen Sie für Service Name die Option com.amazonaws aus.
region.s3, woregionist der Name der Region, in der Sie VPC wohnen. -
Wählen Sie für den aus VPC, den VPC Sie für diesen Endpunkt verwenden möchten.
-
Für Configure route tables wählen Sie die Routing-Tabellen, die von dem Endpunkt verwendet werden sollen. Der VPC Service fügt jeder ausgewählten Routentabelle automatisch eine Route hinzu, die jeglichen S3-Verkehr auf den neuen Endpunkt weiterleitet.
-
Wählen Sie unter Richtlinie die Option Vollzugriff aus, um allen Benutzern oder Diensten innerhalb von vollen Zugriff auf den S3-Dienst zu gewährenVPC. Wählen Sie Custom (Benutzerdefiniert) aus, um den Zugriff weiter einzuschränken. Weitere Informationen finden Sie unter Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3.
Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3
Die standardmäßige Endpunktrichtlinie ermöglicht vollen Zugriff auf S3 für jeden Benutzer oder Dienst in IhremVPC. Um den Zugriff auf S3 einzuschränken, erstellen Sie eine benutzerdefinierte Endpunktrichtlinie. Weitere Informationen finden Sie unter Verwendung von Endpunktrichtlinien für Amazon S3. Sie können auch eine Bucket-Richtlinie verwenden, um den Zugriff auf Ihre S3-Buckets auf den Datenverkehr zu beschränken, der von Ihrem Amazon VPC stammt. Weitere Informationen finden Sie unter Verwendung von Amazon S3 Bucket-Richtlinien.
Einschränken der Paketinstallation auf dem Modellcontainer
Mit der Standardrichtlinie für Endpunkte können Benutzer Pakete aus den Amazon Linux- und Amazon Linux-2-Repositorys auf dem Trainingscontainer installieren. Wenn Sie nicht möchten, dass Benutzer Pakete von diesem Repository installieren, erstellen Sie eine benutzerdefinierte Endpunkt-Richtlinie, die ausdrücklich den Zugriff auf die Amazon Linux- und Amazon Linux-2-Repositorys verweigert. Nachfolgend finden Sie eine Beispielrichtlinie, die den Zugriff auf diese Repositorys verweigert:
{ "Statement": [ { "Sid": "AmazonLinuxAMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::packages.*.amazonaws.com/*", "arn:aws:s3:::repo.*.amazonaws.com/*" ] } ] } { "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" ] } ] }
Konfigurieren der Routing-Tabellen
Verwenden Sie die DNS Standardeinstellungen für Ihre Endpunkt-Routing-Tabelle, sodass die Standardlösung von Amazon S3 URLs (z. B.http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) funktioniert. Wenn Sie keine DNS Standardeinstellungen verwenden, stellen Sie sicher, URLs dass die, die Sie zur Angabe der Speicherorte der Daten in Ihren Batch-Transformationsaufträgen verwenden, durch die Konfiguration der Endpunkt-Routing-Tabellen aufgelöst werden. Informationen zu VPC Endpunkt-Routing-Tabellen finden Sie unter Routing für Gateway-Endpunkte im VPCAmazon-Benutzerhandbuch.
Konfigurieren Sie die VPC Sicherheitsgruppe
In verteilten Stapeltransformationen müssen Sie die Kommunikation zwischen den verschiedenen Containern desselben Stapeltransformationsauftrags zulassen. Dazu konfigurieren Sie eine Regel für Ihre Sicherheitsgruppe, die ein- und ausgehende Verbindungen zwischen Mitgliedern derselben Sicherheitsgruppe zulässt. Mitglieder derselben Sicherheitsgruppe sollten über alle Ports miteinander kommunizieren können. Weitere Informationen finden Sie unter Sicherheitsgruppenregeln.
Connect zu Ressourcen außerhalb Ihres her VPC
Wenn Sie Ihren VPC so konfigurieren, dass er keinen Internetzugang hat, transformieren Sie Jobs, die VPC keinen Zugriff auf Ressourcen außerhalb Ihres Computers haben, im Batch-ModusVPC. Wenn Ihr Batch-Transformationsauftrag Zugriff auf Ressourcen außerhalb Ihres Computers benötigtVPC, bieten Sie eine der folgenden Optionen für den Zugriff an:
-
Wenn Ihr Batch-Transformationsauftrag Zugriff auf einen AWS Dienst benötigt, der VPC Schnittstellenendpunkte unterstützt, erstellen Sie einen Endpunkt, um eine Verbindung zu diesem Dienst herzustellen. Eine Liste der Dienste, die Schnittstellenendpunkte unterstützen, finden Sie unter VPCEndpoints im VPCAmazon-Benutzerhandbuch. Informationen zum Erstellen eines VPC Schnittstellenendpunkts finden Sie unter Interface VPC Endpoints (AWS PrivateLink) im VPCAmazon-Benutzerhandbuch.
-
Wenn Ihr Batch-Transformationsauftrag Zugriff auf einen AWS Service benötigt, der keine VPC Schnittstellenendpunkte unterstützt, oder auf eine Ressource außerhalb von AWS, erstellen Sie ein NAT Gateway und konfigurieren Sie Ihre Sicherheitsgruppen so, dass ausgehende Verbindungen zugelassen werden. Informationen zur Einrichtung eines NAT Gateways für Ihr VPC finden Sie unter Szenario 2: VPC mit öffentlichen und privaten Subnetzen (NAT) im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch.
