Geben Sie dem Batch-Transformationsauftrag Zugriff auf Ressourcen in Ihrer Amazon VPC - Amazon SageMaker
Konfigurieren Sie einen Batch-Transformationsauftrag für Amazon VPC-ZugriffKonfigurieren Sie Ihre private VPC für SageMaker Batch Transform

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Geben Sie dem Batch-Transformationsauftrag Zugriff auf Ressourcen in Ihrer Amazon VPC

Um den Zugriff auf Ihre Daten und Batch-Transformationsaufträge zu kontrollieren, empfehlen wir Ihnen, eine private Amazon VPC zu erstellen und sie so zu konfigurieren, dass Ihre Aufträge nicht über das öffentliche Internet zugänglich sind. Sie legen beim Erstellen eines Modells Ihre private VPC-Konfiguration fest, indem Sie Subnetze und Sicherheitsgruppen angeben. Anschließend geben Sie das gleiche Modell an wie bei der Erstellung eines Stapeltransformationsauftrags. Wenn Sie die Subnetze und Sicherheitsgruppen angeben, werden elastische Netzwerkschnittstellen SageMaker erstellt, die Ihren Sicherheitsgruppen in einem der Subnetze zugeordnet sind. Über Netzwerkschnittstellen können Ihre Modellcontainer eine Verbindung zu Ressourcen in Ihrer VPC herstellen. Informationen über Netzwerkschnittstellen finden Sie unter Elastische Netzwerkschnittstellen im Amazon VPC Benutzerhandbuch.

In diesem Dokument wird erklärt, wie Amazon VPC-Konfigurationen für Batch-Transformationsauftrags hinzugefügt werden.

Konfigurieren Sie einen Batch-Transformationsauftrag für Amazon VPC-Zugriff

Um Subnetze und Sicherheitsgruppen in Ihrer privaten VPC anzugeben, verwenden Sie den VpcConfig Anforderungsparameter der CreateModelAPI oder geben Sie diese Informationen an, wenn Sie ein Modell in der SageMaker Konsole erstellen. Geben Sie dann dasselbe Modell im ModelName Anforderungsparameter der CreateTransformJobAPI oder im Feld Modellname an, wenn Sie einen Transformationsjob in der SageMaker Konsole erstellen. SageMaker verwendet diese Informationen, um Netzwerkschnittstellen zu erstellen und sie an Ihre Modellcontainer anzuhängen. Die Netzwerkschnittstellen stellen Ihren Modellcontainern eine Netzwerkverbindung innerhalb Ihrer VPC zur Verfügung, die nicht mit dem Internet verbunden ist. Außerdem kann der Transformationsauftrag auf diese Weise eine Verbindung zu den Ressourcen in Ihrer privaten VPC herstellen.

Im Folgenden sehen Sie ein Beispiel des Parameters VpcConfig, den Sie in Ihrem Aufruf zu CreateModel hinzufügen:

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

Wenn Sie ein Modell mithilfe des API-Vorgangs CreateModel erstellen, muss die IAM-Ausführungsrolle, die Sie zum Erstellen Ihres Modells verwenden, die in CreateModel API: Berechtigungen für die Ausführungsrolle beschriebenen Berechtigungen enthalten, einschließlich der folgenden für eine private VPC erforderlichen Berechtigungen.

Wenn Sie beim Erstellen eines Modells in der Konsole im Abschnitt Modelleinstellungen die Option Neue Rolle erstellen auswählen, enthält die AmazonSageMakerFullAccess Richtlinie, mit der die Rolle erstellt wurde, diese Berechtigungen bereits. Wenn Sie Eine benutzerdefinierte IAM-Rolle eingeben oder Vorhandene Rolle verwenden auswählen, muss dem von Ihnen angegebenen Rollen-ARN eine Ausführungsrichtlinie mit den folgenden Berechtigungen zugewiesen sein. 

{
            "Effect": "Allow",
            "Action": [
            "ec2:CreateNetworkInterface",
            "ec2:CreateNetworkInterfacePermission",
            "ec2:DeleteNetworkInterface",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeVpcs",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeSubnets",
            "ec2:DescribeSecurityGroups"

Konfigurieren Sie Ihre private VPC für SageMaker Batch Transform

Beachten Sie bei der Konfiguration der privaten VPC für Ihre SageMaker Batch-Transformationsjobs die folgenden Richtlinien. Informationen zum Einrichten einer VPC finden Sie unter Arbeiten mit VPCs und Subnetzen im Amazon VPC Benutzerhandbuch.

Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben

Ihre VPC-Subnetze sollten mindestens zwei private IP-Adressen für jede Instance in einem Transformationsauftrag haben. Weitere Informationen finden Sie unter Dimensionierung der VPC und der Subnetze für IPv4 im Amazon VPC Benutzerhandbuch.

Erstellen eines Amazon S3 VPC-Endpunkts

Wenn Sie Ihre VPC so konfigurieren, dass Modellcontainer keinen Zugang zum Internet haben, können sie sich nicht mit den Amazon-S3-Buckets verbinden, die Ihre Daten enthalten, es sei denn, Sie erstellen einen VPC-Endpunkt, der den Zugriff erlaubt. Durch das Erstellen eines VPC-Endpunkts, geben Sie den Modellcontainern Zugriff auf die Buckets, in denen Sie Ihre Daten und Modellartefakte speichern. Wir empfehlen, dass Sie auch eine benutzerdefinierte Richtlinie erstellen, die nur Anforderungen von Ihrer privaten VPC erlaubt, auf Ihre S3-Buckets zuzugreifen. Weitere Informationen finden Sie unter Endpunkte für Amazon S3.

So erstellen Sie einen S3-VPC-Endpunkt:

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpoints (Endpunkte) und anschließend Create Endpoint (Endpunkt erstellen) aus.

  3. Wählen Sie unter Service Name (Servicename) die Option com.amazonaws.region.s3 aus, wobei es sich bei region um die Region handelt, in der sich Ihre VPC befindet.

  4. Wählen Sie unter VPC die VPC aus, die Sie für diesen Endpunkt verwenden möchten.

  5. Für Configure route tables wählen Sie die Routing-Tabellen, die von dem Endpunkt verwendet werden sollen. Der VPC-Service fügt automatisch jeder von Ihnen ausgewählten Routing-Tabelle eine Route hinzu, über die der S3-Datenverkehr an den neuen Endpunkt geleitet wird.

  6. Wählen Sie unter Policy (Richtlinie) die Option Full Access (Vollzugriff) aus. So gewähren Sie allen Benutzern und Services innerhalb der VPC Vollzugriff auf den S3-Service. Wählen Sie Custom (Benutzerdefiniert) aus, um den Zugriff weiter einzuschränken. Weitere Informationen finden Sie unter Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3.

Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3

Standardmäßig wird über die Endpunktrichtlinie allen Benutzern oder Services in Ihrer VPC Vollzugriff auf S3 gewährt. Um den Zugriff auf S3 einzuschränken, erstellen Sie eine benutzerdefinierte Endpunktrichtlinie. Weitere Informationen finden Sie unter Verwendung von Endpunktrichtlinien für Amazon S3. Sie können auch eine Bucket-Richtlinie verwenden, um den Zugriff auf Ihre S3-Buckets auf den Datenverkehr zu beschränken, der von Ihrer Amazon VPC kommt. Weitere Informationen finden Sie unter Verwendung von Amazon S3 Bucket-Richtlinien.

Einschränken der Paketinstallation auf dem Modellcontainer

Mit der Standardrichtlinie für Endpunkte können Benutzer Pakete aus den Amazon Linux- und Amazon Linux-2-Repositorys auf dem Trainingscontainer installieren. Wenn Sie nicht möchten, dass Benutzer Pakete von diesem Repository installieren, erstellen Sie eine benutzerdefinierte Endpunkt-Richtlinie, die ausdrücklich den Zugriff auf die Amazon Linux- und Amazon Linux-2-Repositorys verweigert. Nachfolgend finden Sie eine Beispielrichtlinie, die den Zugriff auf diese Repositorys verweigert:

{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

Konfigurieren der Routing-Tabellen

Verwenden Sie Standard-DNS-Einstellungen für Ihre Endpunkt-Routentabelle, so dass Standard-URLs von Amazon S3 (z. B. http://s3-aws-region.amazonaws.com/MyBucket) aufgelöst werden. Wenn Sie keine Standard-DNS-Einstellungen verwenden, stellen Sie sicher, dass die URLs, die Sie verwenden, um die Speicherorte der Daten in Ihren Stapeltransformationsaufträgen festzulegen, durch die Konfiguration der Endpunkt Routing-Tabellen aufgelöst werden. Informationen über Routing-Tabellen für VPC-Endpunkte finden Sie unter Routing für Gateway-Endpunkte im Amazon VPC Benutzerhandbuch.

Konfigurieren der VPC-Sicherheitsgruppe

In verteilten Stapeltransformationen müssen Sie die Kommunikation zwischen den verschiedenen Containern desselben Stapeltransformationsauftrags zulassen. Dazu konfigurieren Sie eine Regel für Ihre Sicherheitsgruppe, die ein- und ausgehende Verbindungen zwischen Mitgliedern derselben Sicherheitsgruppe zulässt. Mitglieder derselben Sicherheitsgruppe sollten über alle Ports miteinander kommunizieren können. Weitere Informationen finden Sie unter Sicherheitsgruppenregeln.

Herstellen einer Verbindung mit Ressourcen außerhalb Ihrer VPC

Wenn Sie Ihre VPC so konfigurieren, dass sie keinen Internetzugriff hat, haben Stapeltransformationsaufträge, die diese VPC verwenden, keinen Zugriff auf Ressourcen außerhalb Ihrer VPC. Wenn Ihre Stapeltransformationsaufträge Zugriff auf Ressourcen außerhalb Ihrer VPC benötigen, stellen Sie mithilfe einer der folgenden Optionen den entsprechenden Zugriff her:

  • Wenn Ihr Batch-Transformationsjob Zugriff auf einen AWS Dienst benötigt, der VPC-Schnittstellen-Endpunkte unterstützt, erstellen Sie einen Endpunkt, um eine Verbindung zu diesem Dienst herzustellen. Eine Liste der Services, die Schnittstellenendpunkte unterstützen, finden Sie unter VPC-Endpunkte im Amazon VPC Benutzerhandbuch. Informationen zum Erstellen eines Schnittstellen-VPC-Endpunkts finden Sie unter Interface VPC Endpoints (AWS PrivateLink) im Amazon VPC-Benutzerhandbuch.

  • Wenn Ihr Batch-Transformationsjob Zugriff auf einen AWS Dienst benötigt, der keine VPC-Schnittstellen-Endpunkte unterstützt, oder auf eine Ressource außerhalb von AWS, erstellen Sie ein NAT-Gateway und konfigurieren Sie Ihre Sicherheitsgruppen so, dass ausgehende Verbindungen zugelassen werden. Weitere Informationen zum Einrichten eines NAT-Gateway für Ihre VPC finden Sie unter Szenario 2: VPC mit öffentlichen und privaten Subnetzen (NAT) im Amazon Virtual Private Cloud-Benutzerhandbuch.