Connect dich mit SageMaker Within your VPC - Amazon SageMaker
Stellen Sie SageMaker über einen VPC Schnittstellenendpunkt eine ConnectNutzung von SageMaker Schulungen und Hosting mit Ressourcen innerhalb Ihres VPCErstellen Sie eine VPC Endpunktrichtlinie für SageMakerErstellen Sie eine VPC Endpunktrichtlinie für Amazon SageMaker Feature StoreConnect Sie Ihr privates Netzwerk mit Ihrem VPC

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Connect dich mit SageMaker Within your VPC

Sie können sich über einen Schnittstellenendpunkt in Ihrer virtuellen privaten Cloud (VPC) direkt mit Amazon SageMaker Runtime SageMaker API oder mit Amazon Runtime verbinden, anstatt eine Verbindung über das Internet herzustellen. Wenn Sie einen VPC Schnittstellenendpunkt verwenden, erfolgt die Kommunikation zwischen Ihrem VPC und der SageMaker API Runtime vollständig und sicher innerhalb eines AWS Netzwerks.

Stellen Sie SageMaker über einen VPC Schnittstellenendpunkt eine Connect

Die SageMaker API und SageMaker Runtime unterstützen Endpunkte der Amazon Virtual Private Cloud (AmazonVPC) -Schnittstelle, die von AWS PrivateLinkbetrieben werden. Jeder VPC Endpunkt wird durch eine oder mehrere Elastic Network Interfaces mit privaten IP-Adressen in Ihren VPC Subnetzen repräsentiert. Zum Beispiel VPC verwendet eine Anwendung in Ihrem System AWS PrivateLink die Kommunikation mit SageMaker Runtime. SageMakerRuntime kommuniziert wiederum mit dem SageMaker Endpunkt. AWS PrivateLink Mithilfe von können Sie Ihren SageMaker Endpunkt von Ihrem aus aufrufenVPC, wie in der folgenden Abbildung dargestellt.

A VPC verwendet AWS PrivateLink , um mit einem SageMaker Endpunkt zu kommunizieren.

Der VPC Schnittstellenendpunkt verbindet Sie VPC direkt mit SageMaker API oder SageMaker Runtime, AWS PrivateLink ohne ein Internet-Gateway, ein NAT Gerät, eine VPN Verbindung oder eine AWS Direct Connect Verbindung zu verwenden. Die Instances in Ihrem VPC System müssen keine Verbindung zum öffentlichen Internet herstellen, um mit der SageMaker Runtime SageMaker API oder Runtime zu kommunizieren.

Sie können einen AWS PrivateLink Schnittstellenendpunkt erstellen, um eine Verbindung zu SageMaker oder mit SageMaker Runtime herzustellen, indem Sie entweder AWS Management Console oder AWS Command Line Interface (AWS CLI) verwenden. Anweisungen finden Sie unter Zugreifen auf einen AWS Dienst mithilfe eines VPC Schnittstellenendpunkts.

Wenn Sie keinen privaten Domain Name System (DNS) -Hostnamen für Ihren VPC Endpunkt aktiviert haben, geben Sie nach der Erstellung eines VPC Endpunkts den Internetendpunkt SageMaker API oder SageMaker Runtime URL an. Es folgt ein Beispielcode, der AWS CLI Befehle zur Angabe des endpoint-url Parameters verwendet.

aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com  \
    --endpoint-name Endpoint_Name \
    --body "Endpoint_Body" \
    --content-type "Content_Type" \
            Output_File

Wenn Sie private DNS Hostnamen für Ihren VPC Endpunkt aktivieren, müssen Sie den Endpunkt nicht angeben, URL da es sich um den Standard-Hostnamen handelt (https://api.sagemaker.Region.amazon.com) wird zu Ihrem Endpunkt aufgelöst. VPC Ähnlich verhält es sich mit dem standardmäßigen SageMaker DNS Runtime-Hostnamen (https://runtime.sagemaker.Region.amazonaws.com) wird auch zu Ihrem Endpunkt aufgelöst. VPC

The SageMaker API und SageMaker Runtime unterstützen VPC Endpunkte überall dort, AWS-Regionen wo VPC sowohl Amazon als auch SageMakerAres verfügbar sind. SageMaker unterstützt das Telefonieren von Anrufen an alle Geräte Operationsin IhremVPC. Wenn du das AuthorizedUrl von der verwendest 
 CreatePresignedNotebookInstanceUrlBefehl, Ihr Datenverkehr wird über das öffentliche Internet übertragen. Sie können nicht nur einen VPC Endpunkt verwenden, um auf das vorsignierte Gerät zuzugreifenURL, die Anfrage muss auch über das Internet-Gateway gesendet werden.

Standardmäßig können Ihre Benutzer die vorsignierten Daten URL an Personen außerhalb Ihres Unternehmensnetzwerks weitergeben. Aus Sicherheitsgründen müssen Sie IAM Berechtigungen hinzufügen, um zu verhindern, dass sie URL nur innerhalb Ihres Netzwerks verwendet werden können. Informationen zu IAM Berechtigungen finden Sie unter Wie AWS PrivateLink funktioniert mit IAM.

Anmerkung

Beim Einrichten eines VPC Schnittstellenendpunkts für den SageMaker Runtime-Dienst (https://runtime.sagemaker. Region.amazonaws.com) müssen Sie sicherstellen, dass der VPC Schnittstellenendpunkt in der Availability Zone Ihres Kunden aktiviert ist, damit die private DNS Lösung funktioniert. Andernfalls können DNS Fehler auftreten, wenn Sie versuchen, das zu beheben. URL

Weitere Informationen AWS PrivateLink dazu finden Sie in der AWS PrivateLink Dokumentation. Die AWS PrivateLink Preise für VPC Endgeräte finden Sie unter Preise. Weitere Informationen VPC zu Endpunkten finden Sie auf Amazon VPC. Informationen zur Verwendung identitätsbasierter AWS Identity and Access Management Richtlinien zur Beschränkung des Zugriffs auf die SageMaker API und SageMaker Runtime finden Sie unter. Steuern Sie den Zugriff auf die SageMaker API mithilfe identitätsbasierter Richtlinien

Nutzung von SageMaker Schulungen und Hosting mit Ressourcen innerhalb Ihres VPC

SageMaker verwendet Ihre Ausführungsrolle, um Informationen aus einem Amazon S3-Bucket und Amazon Elastic Container Registry (AmazonECR) herunterzuladen und hochzuladen, unabhängig von Ihrem Trainings- oder Inferenzcontainer. Wenn Sie Ressourcen haben, die sich in Ihrem befindenVPC, können Sie trotzdem SageMaker Zugriff auf diese Ressourcen gewähren. In den folgenden Abschnitten wird erklärt, wie Sie Ihre Ressourcen SageMaker mit oder ohne Netzwerkisolierung verfügbar machen können.

Ohne aktivierte Netzwerkisolierung

Wenn Sie in Ihrem Ausbildungsjob oder Modell keine Netzwerkisolierung eingerichtet haben, SageMaker können Sie mit einer der folgenden Methoden auf Ressourcen zugreifen.

  • SageMaker Schulungscontainer und bereitgestellte Inferenzcontainer können standardmäßig auf das Internet zugreifen. SageMaker Container können im Rahmen Ihrer Schulungs- und Inferenz-Workloads auf externe Dienste und Ressourcen im öffentlichen Internet zugreifen. SageMaker Container können VPC ohne VPC Konfiguration nicht auf Ressourcen innerhalb Ihres Computers zugreifen, wie in der folgenden Abbildung dargestellt.

    SageMaker kann VPC ohne VPC Konfiguration nicht auf Ressourcen in Ihrem zugreifen.

  • Verwenden Sie eine VPC Konfiguration, um mit Ressourcen in Ihrem System VPC über eine elastic network interface (ENI) zu kommunizieren. Die Kommunikation zwischen dem Container und den Ressourcen in Ihrem Netzwerk VPC erfolgt sicher innerhalb Ihres VPC Netzwerks, wie in der folgenden Abbildung dargestellt. In diesem Fall verwalten Sie den Netzwerkzugriff auf Ihre VPC Ressourcen und das Internet.

    SageMaker kann mit einer VPC Konfiguration auf Ihre Ressourcen zugreifen und VPC mit ihnen kommunizieren.

Mit Netzwerkisolierung

Wenn Sie Netzwerkisolierung verwenden, kann der SageMaker Container nicht mit Ressourcen innerhalb Ihres Containers kommunizieren VPC oder Netzwerkaufrufe tätigen, wie in der folgenden Abbildung dargestellt. Wenn Sie eine VPC Konfiguration angeben, werden die Download- und Upload-Vorgänge über Ihren ausgeführtVPC. Weitere Informationen zum Hosten und Trainieren mit Netzwerkisolierung bei Verwendung von finden Sie unterNetzwerkisolierung. VPC

SageMaker kann mit einer VPC Konfiguration auf Ressourcen innerhalb Ihres Computers zugreifen und VPC mit diesen kommunizieren.

Sie können eine Richtlinie für VPC Amazon-Endgeräte erstellen SageMaker , um Folgendes anzugeben:

  • Prinzipal, der die Aktionen ausführen kann.

  • Aktionen, die ausgeführt werden können

  • Die Ressourcen, für die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie unter Controlling Access to Services with VPC Endpoints im VPCAmazon-Benutzerhandbuch.

Anmerkung

VPCEndpunktrichtlinien werden für SageMaker Laufzeitendpunkte des Federal Information Processing Standard (FIPS) nicht unterstützt für runtime_InvokeEndpoint.

Die folgende VPC Beispiel-Endpunktrichtlinie gibt an, dass alle Benutzer, die Zugriff auf den VPC Schnittstellenendpunkt haben, den genannten SageMaker gehosteten Endpunkt aufrufen dürfen. myEndpoint

{
  "Statement": [
      {
          "Action": "sagemaker:InvokeEndpoint",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
          "Principal": "*"
      }
  ]
}

In diesem Beispiel wird Folgendes verweigert:

  • Andere SageMaker API Aktionen, wie sagemaker:CreateEndpoint undsagemaker:CreateTrainingJob.

  • Aufrufen anderer SageMaker gehosteter Endpunkte als. myEndpoint

Anmerkung

In diesem Beispiel können Benutzer weiterhin andere SageMaker API Aktionen von außerhalb des ausführen. VPC Informationen darüber, wie Sie API Anrufe auf Anrufe von innerhalb von beschränken könnenVPC, finden Sie unterSteuern Sie den Zugriff auf die SageMaker API mithilfe identitätsbasierter Richtlinien.

Um einen VPC Endpunkt für Amazon SageMaker Feature Store zu erstellen, verwenden Sie die folgende Endpunktvorlage und ersetzen Sie Ihre VPC_Endpoint_ID.api and Region:

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

Um die SageMaker API SageMaker Runtime über Ihren aufzurufenVPC, müssen Sie eine Verbindung von einer Instance herstellen, die sich innerhalb der Instanz befindet, VPC oder Ihr privates Netzwerk mit Ihrem verbinden, VPC indem Sie ein AWS Virtual Private Network (AWS VPN) oder verwenden AWS Direct Connect. Weitere Informationen dazu AWS VPN finden Sie unter VPNVerbindungen im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch. Weitere Informationen dazu AWS Direct Connect finden Sie unter Verbindung herstellen im AWS Direct Connect-Benutzerhandbuch.