Connect zu SageMaker Innerhalb Ihrer VPC her - Amazon SageMaker
Stellen Sie SageMaker über einen VPC-Schnittstellen-Endpunkt eine ConnectNutzung von SageMaker Schulungen und Hosting mit Ressourcen in Ihrer VPCErstellen Sie eine VPC-Endpunktrichtlinie für SageMakerErstellen Sie eine VPC-Endpunktrichtlinie für Amazon SageMaker Feature StoreVerbinden Ihres privaten Netzwerks mit Ihrer VPC

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Connect zu SageMaker Innerhalb Ihrer VPC her

Sie können über einen Schnittstellenendpunkt in Ihrer Virtual Private Cloud (VPC) eine direkte Verbindung zur SageMaker API oder zu Amazon SageMaker Runtime herstellen, anstatt eine Verbindung über das Internet herzustellen. Wenn Sie einen VPC-Schnittstellenendpunkt verwenden, erfolgt die Kommunikation zwischen Ihrer VPC und der SageMaker API oder Runtime vollständig und sicher innerhalb eines AWS Netzwerks.

Stellen Sie SageMaker über einen VPC-Schnittstellen-Endpunkt eine Connect

Die SageMaker API und SageMaker Runtime unterstützen Amazon Virtual Private Cloud (Amazon VPC) -Schnittstellenendpunkte, die von betrieben werden. AWS PrivateLink Jeder VPC-Endpunkt wird durch eine oder mehrere Elastic Network-Schnittstellen mit privaten IP-Adressen in Ihren VPC-Subnetzen repräsentiert. Beispielsweise kommuniziert eine Anwendung in Ihrer VPC mit SageMaker Runtime. AWS PrivateLink SageMakerRuntime kommuniziert wiederum mit dem SageMaker Endpunkt. AWS PrivateLink Mithilfe können Sie Ihren SageMaker Endpunkt von Ihrer VPC aus aufrufen, wie in der folgenden Abbildung dargestellt.

Eine VPC verwendet AWS PrivateLink , um mit einem SageMaker Endpunkt zu kommunizieren.

Der VPC-Schnittstellenendpunkt verbindet Ihre VPC direkt mit der SageMaker API oder SageMaker Runtime, AWS PrivateLink ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder AWS Direct Connect eine Verbindung zu verwenden. Die Instances in Ihrer VPC müssen keine Verbindung zum öffentlichen Internet herstellen, um mit der SageMaker API oder SageMaker Runtime zu kommunizieren.

Sie können einen AWS PrivateLink Schnittstellenendpunkt erstellen, um eine Verbindung zu SageMaker oder mit SageMaker Runtime herzustellen, indem Sie entweder AWS Management Console oder AWS Command Line Interface (AWS CLI) verwenden. Anweisungen finden Sie unter Zugreifen auf einen AWS Dienst über einen Schnittstellen-VPC-Endpunkt.

Wenn Sie keinen privaten DNS-Hostnamen (Domain Name System) für Ihren VPC-Endpunkt aktiviert haben, geben Sie nach der Erstellung eines VPC-Endpunkts die Internetendpunkt-URL zur SageMaker API oder Runtime an. SageMaker Es folgt ein Beispielcode, der AWS CLI Befehle zur Angabe des endpoint-url Parameters verwendet.

aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com  \
    --endpoint-name Endpoint_Name \
    --body "Endpoint_Body" \
    --content-type "Content_Type" \
            Output_File

Wenn Sie private DNS-Hostnamen für Ihren VPC-Endpunkt aktivieren, müssen Sie die Endpunkt-URL nicht angeben, da der Standard-Hostname (https://api.sagemaker.Region.amazon.com) wird in Ihren VPC-Endpunkt aufgelöst. Ähnlich verhält es sich mit dem standardmäßigen SageMaker Runtime-DNS-Hostname (https://runtime.sagemaker. Region (.amazonaws.com) wird ebenfalls zu Ihrem VPC-Endpunkt aufgelöst.

Die SageMaker API und SageMaker Runtime unterstützen VPC-Endpunkte überall dort, AWS-Regionen wo sowohl Amazon VPC als auch Ares verfügbar sind. SageMaker SageMaker unterstützt das Durchführen von Aufrufen aller Daten Operationsin Ihrer VPC. Wenn Sie das AuthorizedUrl von der verwenden CreatePresignedNotebookInstanceUrlBefehl, Ihr Datenverkehr wird über das öffentliche Internet übertragen. Sie können nicht nur einen VPC-Endpunkt verwenden, um auf die vorsignierte URL zuzugreifen, die Anfrage muss auch über das Internet-Gateway gehen.

Standardmäßig können Ihre Benutzer die vorsignierte URL mit Personen außerhalb Ihres Unternehmensnetzwerks teilen. Aus Sicherheitsgründen müssen Sie IAM-Berechtigungen hinzufügen, um zu verhindern, dass die URL nur innerhalb Ihres Netzwerks verwendet werden kann. Informationen zu IAM-Berechtigungen finden Sie unter So AWS PrivateLink funktioniert es mit IAM.

Anmerkung

Beim Einrichten eines VPC-Schnittstellenendpunkts für den SageMaker Runtime-Service (https://runtime.sagemaker. Region.amazonaws.com), müssen Sie sicherstellen, dass der VPC-Schnittstellenendpunkt in der Availability Zone Ihres Kunden aktiviert ist, damit die private DNS-Auflösung funktioniert. Andernfalls können beim Versuch, die URL aufzulösen, DNS-Fehler auftreten.

Weitere Informationen AWS PrivateLink dazu finden Sie in der Dokumentation.AWS PrivateLink Die Preise für die VPC-Endpunkte finden Sie unter AWS PrivateLink Preise. Unter Amazon VPC erfahren Sie mehr über die VPC und Endpunkte. Informationen zur Verwendung identitätsbasierter AWS Identity and Access Management Richtlinien zur Beschränkung des Zugriffs auf die SageMaker API und SageMaker Runtime finden Sie unter. Steuern Sie den Zugriff auf die SageMaker API mithilfe identitätsbasierter Richtlinien

Nutzung von SageMaker Schulungen und Hosting mit Ressourcen in Ihrer VPC

SageMaker verwendet Ihre Ausführungsrolle, um Informationen aus einem Amazon S3-Bucket und Amazon Elastic Container Registry (Amazon ECR) herunterzuladen und hochzuladen, unabhängig von Ihrem Trainings- oder Inferenzcontainer. Wenn Sie über Ressourcen verfügen, die sich in Ihrer VPC befinden, können Sie trotzdem SageMaker Zugriff auf diese Ressourcen gewähren. In den folgenden Abschnitten wird erklärt, wie Sie Ihre Ressourcen SageMaker mit oder ohne Netzwerkisolierung verfügbar machen können.

Ohne aktivierte Netzwerkisolierung

Wenn Sie in Ihrem Ausbildungsjob oder Modell keine Netzwerkisolierung eingerichtet haben, SageMaker können Sie mit einer der folgenden Methoden auf Ressourcen zugreifen.

  • SageMaker Übungs- und bereitgestellte Inferenzcontainer können standardmäßig auf das Internet zugreifen. SageMaker Container können im Rahmen Ihrer Schulungs- und Inferenz-Workloads auf externe Dienste und Ressourcen im öffentlichen Internet zugreifen. SageMaker Container können ohne eine VPC-Konfiguration nicht auf Ressourcen in Ihrer VPC zugreifen, wie in der folgenden Abbildung dargestellt.

    SageMaker kann ohne VPC-Konfiguration nicht auf Ressourcen in Ihrer VPC zugreifen.

  • Verwenden Sie eine VPC-Konfiguration, um mit Ressourcen innerhalb Ihrer VPC über eine Elastic-Network Schnittstelle (ENI) zu kommunizieren. Die Kommunikation zwischen dem Container und den Ressourcen in Ihrer VPC erfolgt sicher innerhalb Ihres VPC-Netzwerks, wie in der folgenden Abbildung dargestellt. In diesem Fall verwalten Sie den Netzwerkzugriff auf Ihre VPC-Ressourcen und das Internet.

    SageMaker kann mit einer VPC-Konfiguration auf Ressourcen in Ihrer VPC zugreifen und mit ihnen kommunizieren.

Mit Netzwerkisolierung

Wenn Sie Netzwerkisolierung verwenden, kann der SageMaker Container nicht mit Ressourcen innerhalb Ihrer VPC kommunizieren oder Netzwerkaufrufe tätigen, wie in der folgenden Abbildung dargestellt. Wenn Sie eine VPC-Konfiguration angeben, werden die Download- und Upload-Vorgänge über Ihre VPC ausgeführt. Weitere Informationen zum Hosten und Trainieren mit Netzwerkisolierung bei Verwendung einer VPC finden Sie unter Netzwerkisolierung.

SageMaker kann mit einer VPC-Konfiguration auf Ressourcen in Ihrer VPC zugreifen und mit ihnen kommunizieren.

Sie können eine Richtlinie für Amazon VPC-Endpunkte erstellen SageMaker , um Folgendes anzugeben:

  • Prinzipal, der die Aktionen ausführen kann.

  • Aktionen, die ausgeführt werden können

  • Die Ressourcen, für die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon VPC User Guide.

Anmerkung

VPC-Endpunktrichtlinien werden für Federal Information Processing Standard (FIPS) SageMaker Runtime-Endpoints für nicht unterstützt. runtime_InvokeEndpoint

Die folgende Beispiel-VPC-Endpunktrichtlinie legt fest, dass alle Benutzer, die Zugriff auf den VPC-Schnittstellenendpunkt haben, den genannten SageMaker gehosteten Endpunkt aufrufen dürfen. myEndpoint

{
  "Statement": [
      {
          "Action": "sagemaker:InvokeEndpoint",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
          "Principal": "*"
      }
  ]
}

In diesem Beispiel wird Folgendes verweigert:

  • Andere SageMaker API-Aktionen, wie und. sagemaker:CreateEndpoint sagemaker:CreateTrainingJob

  • Aufrufen anderer SageMaker gehosteter Endpunkte als. myEndpoint

Anmerkung

In diesem Beispiel können Benutzer weiterhin andere SageMaker API-Aktionen von außerhalb der VPC ausführen. Weitere Informationen zum Einschränken von API-Aufrufen von innerhalb der VPC finden Sie unter Steuern Sie den Zugriff auf die SageMaker API mithilfe identitätsbasierter Richtlinien.

Um einen VPC-Endpunkt für Amazon SageMaker Feature Store zu erstellen, verwenden Sie die folgende Endpunktvorlage und ersetzen Sie Ihre vpc_Endpoint_ID.api und Region:

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

Um die SageMaker API und SageMaker Runtime über Ihre VPC aufzurufen, müssen Sie eine Verbindung von einer Instance innerhalb der VPC herstellen oder Ihr privates Netzwerk mit Ihrer VPC verbinden, indem Sie ein AWS Virtual Private Network ()AWS VPN oder verwenden. AWS Direct Connect Weitere Informationen dazu AWS VPN finden Sie unter VPN-Verbindungen im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch. Weitere Informationen dazu AWS Direct Connect finden Sie unter Verbindung herstellen im AWS Direct Connect-Benutzerhandbuch.