Geben Sie SageMaker KI-gehosteten Endpunkten Zugriff auf Ressourcen in Ihrer Amazon VPC - Amazon SageMaker KI
Ein Modell für Amazon VPC Access konfigurierenKonfigurieren Sie Ihre private VPC für SageMaker KI-Hosting

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Geben Sie SageMaker KI-gehosteten Endpunkten Zugriff auf Ressourcen in Ihrer Amazon VPC

Ein Modell für Amazon VPC Access konfigurieren

Um Subnetze und Sicherheitsgruppen in Ihrer privaten VPC anzugeben, verwenden Sie den VpcConfig Anforderungsparameter der CreateModelAPI oder geben Sie diese Informationen an, wenn Sie ein Modell in der SageMaker AI-Konsole erstellen. SageMaker KI verwendet diese Informationen, um Netzwerkschnittstellen zu erstellen und sie an Ihre Modellcontainer anzuhängen. Die Netzwerkschnittstellen stellen Ihren Modellcontainern eine Netzwerkverbindung innerhalb Ihrer VPC zur Verfügung, die nicht mit dem Internet verbunden ist. Außerdem kann Ihr Modell auf diese Weise eine Verbindung zu Ressourcen in Ihrer privaten VPC herstellen.

Anmerkung

Sie müssen mindestens zwei Subnetze in verschiedenen Availability Zones in Ihrer privaten VPC erstellen, auch wenn Sie nur eine Hosting-Instance haben.

Im Folgenden sehen Sie ein Beispiel des Parameters VpcConfig, den Sie in Ihrem Aufruf zu CreateModel hinzufügen:

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }

Konfigurieren Sie Ihre private VPC für SageMaker KI-Hosting

Beachten Sie bei der Konfiguration der privaten VPC für Ihre SageMaker KI-Modelle die folgenden Richtlinien. Informationen zur Einrichtung einer VPC finden Sie unter Arbeiten mit VPCs und Subnetzen im Amazon VPC-Benutzerhandbuch.

Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben

Trainings-Instances, die keinen Elastic Fabric Adapter (EFA) verwenden, sollten mindestens 2 private IP-Adressen haben. Trainings-Instances, die einen EFA verwenden, sollten mindestens 5 private IP-Adressen haben. Weitere Informationen finden Sie unter Mehrere IP-Adressen im EC2 Amazon-Benutzerhandbuch.

Erstellen eines Amazon S3 VPC-Endpunkts

Wenn Sie Ihre VPC so konfigurieren, dass Modellcontainer keinen Zugang zum Internet haben, können sie sich nicht mit den Amazon-S3-Buckets verbinden, die Ihre Daten enthalten, es sei denn, Sie erstellen einen VPC-Endpunkt, der den Zugriff erlaubt. Durch das Erstellen eines VPC-Endpunkts, geben Sie den Modellcontainern Zugriff auf die Buckets, in denen Sie Ihre Daten und Modellartefakte speichern. Wir empfehlen, dass Sie auch eine benutzerdefinierte Richtlinie erstellen, die nur Anforderungen von Ihrer privaten VPC erlaubt, auf Ihre S3-Buckets zuzugreifen. Weitere Informationen finden Sie unter Endpunkte für Amazon S3.

So erstellen Sie einen Amazon S3 VPC-Endpunkt:

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpoints (Endpunkte) und anschließend Create Endpoint (Endpunkt erstellen) aus.

  3. Wählen Sie für Service Name die Option com.amazonaws aus. region.s3, wo region ist der Name der AWS Region, in der sich Ihre VPC befindet.

  4. Wählen Sie unter VPC die VPC aus, die Sie für diesen Endpunkt verwenden möchten.

  5. Wählen Sie unter Routing-Tabellen konfigurieren die zu verwendenden Routing-Tabellen für den Endpunkt aus. Der VPC-Service fügt jeder von Ihnen gewählten Routentabelle automatisch eine Route hinzu, die den Amazon S3-Datenverkehr an den neuen Endpunkt weiterleitet.

  6. Wählen Sie für Richtlinie Voller Zugriff, um jedem Benutzer oder Service innerhalb der VPC den vollen Zugriff auf den Amazon S3-Service zu ermöglichen. Wählen Sie Custom (Benutzerdefiniert) aus, um den Zugriff weiter einzuschränken. Weitere Informationen finden Sie unter Verwenden Sie eine benutzerdefinierte Endpunktrichtlinie, um den Zugriff auf Amazon S3 einzuschränken.

Verwenden Sie eine benutzerdefinierte Endpunktrichtlinie, um den Zugriff auf Amazon S3 einzuschränken

Die Standard-Endpunktrichtlinie ermöglicht jedem Benutzer oder Service in Ihrer VPC den vollständigen Zugriff auf Amazon Simple Storage Service (Amazon S3). Um den Zugriff auf Amazon S3 weiter einzuschränken, erstellen Sie eine benutzerdefinierte Endpunktrichtlinie. Weitere Informationen finden Sie unter Verwendung von Endpunktrichtlinien für Amazon S3.

Sie können auch eine Bucket-Richtlinie verwenden, um den Zugriff auf Ihre S3-Buckets auf den Datenverkehr zu beschränken, der von Ihrer Amazon VPC kommt. Weitere Informationen finden Sie unter Verwendung von Amazon S3 Bucket Richtlinien.

Einschränken der Paketinstallation im Modellcontainer mit einer benutzerdefinierten Endpunktrichtlinie

Mit der Standardrichtlinie für Endpunkte können Benutzer Pakete aus den Amazon Linux- und Amazon Linux-2-Repositorys auf dem Modellcontainer installieren. Wenn Sie nicht möchten, dass Benutzer Pakete von diesen Repositorys installieren, erstellen Sie eine benutzerdefinierte Endpunktrichtlinie, die ausdrücklich den Zugriff auf die Amazon Linux- und Amazon Linux-2-Repositorys verweigert. Nachfolgend finden Sie eine Beispielrichtlinie, die den Zugriff auf diese Repositorys verweigert:

{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

Hinzufügen von Berechtigungen für den Endpunktzugriff für Container, die in einer VPC ausgeführt werden, zu benutzerdefinierten IAM-Richtlinien

Die SageMakerFullAccess-verwaltete Richtlinie enthält die Berechtigungen, die Sie für die Verwendung von Modellen benötigen, die für den Amazon VPC-Zugriff mit einem Endpunkt konfiguriert sind. Diese Berechtigungen ermöglichen es SageMaker KI, eine elastic network interface zu erstellen und sie an Modellcontainer anzuhängen, die in einer VPC ausgeführt werden. Wenn Sie Ihre eigene IAM-Richtlinie verwenden, müssen Sie die folgenden Berechtigungen zu dieser Richtlinie hinzufügen, um die für den VPC-Zugriff konfigurierten Modelle zu verwenden. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface"
            ],
            "Resource": "*"
        }
    ]
}

Weitere Informationen über die verwalteten SageMakerFullAccess-Richtlinie finden Sie unter AWS verwaltete Richtlinie: AmazonSageMakerFullAccess.

Konfigurieren der Routing-Tabellen

Verwenden Sie die Standard-DNS-Einstellungen für Ihre Endpunkt-Routing-Tabelle, sodass die standardmäßige Amazon S3 S3-Auflösung URLs (z. B.http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) gewährleistet ist. Wenn Sie keine Standard-DNS-Einstellungen verwenden, stellen Sie sicher, URLs dass die, die Sie zur Angabe der Speicherorte der Daten in Ihren Modellen verwenden, aufgelöst werden, indem Sie die Endpunkt-Routing-Tabellen konfigurieren. Informationen über Routing-Tabellen für VPC-Endpunkte finden Sie unter Routing für Gateway-Endpunkte im Amazon VPC Benutzerhandbuch.

Herstellen einer Verbindung mit Ressourcen außerhalb Ihrer VPC

Wenn Sie Ihre VPC so konfigurieren, dass sie keinen Internetzugriff hat, haben Modelle, die diese VPC verwenden, keinen Zugriff auf Ressourcen außerhalb Ihrer VPC. Wenn Ihr Modell Zugriff auf Ressourcen außerhalb Ihrer VPC benötigt, stellen Sie mithilfe einer der folgenden Optionen den entsprechenden Zugriff her:

  • Wenn Ihr Modell Zugriff auf einen AWS Dienst benötigt, der VPC-Schnittstellen-Endpunkte unterstützt, erstellen Sie einen Endpunkt, um eine Verbindung zu diesem Dienst herzustellen. Eine Liste der Services, die Schnittstellenendpunkte unterstützen, finden Sie unter VPC-Endpunkte im Amazon VPC Benutzerhandbuch. Informationen zum Erstellen eines Schnittstellen-VPC-Endpunkts finden Sie unter Interface VPC Endpoints (AWS PrivateLink) im Amazon VPC-Benutzerhandbuch.

  • Wenn Ihr Modell Zugriff auf einen AWS Dienst benötigt, der keine VPC-Schnittstellen-Endpunkte unterstützt, oder auf eine Ressource außerhalb von AWS, erstellen Sie ein NAT-Gateway und konfigurieren Sie Ihre Sicherheitsgruppen so, dass ausgehende Verbindungen zugelassen werden. Weitere Informationen zum Einrichten eines NAT-Gateway für Ihre VPC finden Sie unter Szenario 2: VPC mit öffentlichen und privaten Subnetzen (NAT) im Amazon Virtual Private Cloud-Benutzerhandbuch.