Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ausführen von Trainings- und Inferenzcontainern in Internet-freier Modus
SageMaker Trainings- und bereitgestellte Inferenzcontainer sind standardmäßig internetfähig. Auf diese Weise können Container im Rahmen Ihrer Trainings- und Inferenz-Workloads auf externe Services und Ressourcen im öffentlichen Internet zugreifen. Dies könnte jedoch eine Möglichkeit für den unbefugten Zugriff auf Ihre Daten bieten. So kann beispielsweise ein böswilliger Benutzer oder ein Schad-Code, den Sie versehentlich auf dem Container installiert haben (in Form einer öffentlich verfügbaren Quellcode-Bibliothek), auf Ihre Daten zugreifen und sie auf einen Remote-Host übertragen.
Wenn Sie ein Amazon verwenden, VPC indem Sie beim Aufruf CreateTrainingJob
,, CreateHyperParameterTuningJob
oder einen Wert für den VpcConfig
Parameter angeben CreateModel
, können Sie Ihre Daten und Ressourcen schützen, indem Sie Sicherheitsgruppen verwalten und den Internetzugang von Ihrem VPC aus einschränken. Dies erfordert jedoch zusätzlichen Netzwerkkonfigurationen und birgt das Risiko, dass Sie Ihr Netzwerk nicht korrekt konfigurieren. Wenn Sie keinen externen Netzwerkzugriff auf Ihre Trainings- oder Inferenzcontainer gewähren möchten SageMaker , können Sie die Netzwerkisolierung aktivieren.
Netzwerkisolierung
Sie können die Netzwerkisolierung aktivieren, wenn Sie Ihren Trainingsauftrag oder Ihr Modell erstellen, indem Sie den Wert des EnableNetworkIsolation
-Parameters auf True
setzen, wenn Sie CreateTrainingJob
, CreateHyperParameterTuningJob
, oder CreateModel
. aufrufen.
Anmerkung
Die Isolierung des Netzwerks ist erforderlich, um Trainingsaufträge und Modelle mit Ressourcen von AWS Marketplace auszuführen. Für zusätzliche Sicherheit werden AWS Marketplace Bilder in einem Amazon ausgeführtVPC. Sie haben nur Zugriff auf Daten in ihren lokalen Dateisystemen.
Wenn Sie die Netzwerkisolierung aktivieren, können die Container keine ausgehenden Netzwerkaufrufe tätigen, auch nicht an andere AWS Dienste wie Amazon S3. Darüber hinaus werden der Container-Laufzeitumgebung keine AWS Anmeldeinformationen zur Verfügung gestellt. Bei einem Trainingsjob mit mehreren Instanzen ist der eingehende und ausgehende Netzwerkverkehr auf die Peers der einzelnen Trainingscontainer beschränkt. SageMaker führt weiterhin Download- und Upload-Operationen für Amazon S3 durch, wobei Ihre SageMaker Ausführungsrolle unabhängig vom Trainings- oder Inferenzcontainer verwendet wird.
Die folgenden verwalteten SageMaker Container unterstützen keine Netzwerkisolierung, da sie Zugriff auf Amazon S3 benötigen:
-
Chainer
-
SageMaker Verstärkendes Lernen
Netzwerkisolierung mit einem VPC
Die Netzwerkisolierung kann in Verbindung mit a verwendet werdenVPC. In diesem Szenario werden der Download und Upload von Kundendaten und Modellartefakten über Ihr VPC Subnetz geleitet. Die Trainings- und Inferenzcontainer selbst sind jedoch weiterhin vom Netzwerk isoliert und haben keinen Zugriff auf Ressourcen in Ihrem VPC oder im Internet.