Ausführen von Trainings- und Inferenzcontainern in Internet-freier Modus - Amazon SageMaker
Netzwerkisolierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ausführen von Trainings- und Inferenzcontainern in Internet-freier Modus

SageMaker Trainings- und bereitgestellte Inferenzcontainer sind standardmäßig internetfähig. Auf diese Weise können Container im Rahmen Ihrer Trainings- und Inferenz-Workloads auf externe Services und Ressourcen im öffentlichen Internet zugreifen. Dies könnte jedoch eine Möglichkeit für den unbefugten Zugriff auf Ihre Daten bieten. So kann beispielsweise ein böswilliger Benutzer oder ein Schad-Code, den Sie versehentlich auf dem Container installiert haben (in Form einer öffentlich verfügbaren Quellcode-Bibliothek), auf Ihre Daten zugreifen und sie auf einen Remote-Host übertragen.

Wenn Sie ein Amazon verwenden, VPC indem Sie beim Aufruf CreateTrainingJob,, CreateHyperParameterTuningJoboder einen Wert für den VpcConfig Parameter angeben CreateModel, können Sie Ihre Daten und Ressourcen schützen, indem Sie Sicherheitsgruppen verwalten und den Internetzugang von Ihrem VPC aus einschränken. Dies erfordert jedoch zusätzlichen Netzwerkkonfigurationen und birgt das Risiko, dass Sie Ihr Netzwerk nicht korrekt konfigurieren. Wenn Sie keinen externen Netzwerkzugriff auf Ihre Trainings- oder Inferenzcontainer gewähren möchten SageMaker , können Sie die Netzwerkisolierung aktivieren.

Netzwerkisolierung

Sie können die Netzwerkisolierung aktivieren, wenn Sie Ihren Trainingsauftrag oder Ihr Modell erstellen, indem Sie den Wert des EnableNetworkIsolation-Parameters auf True setzen, wenn Sie CreateTrainingJob, CreateHyperParameterTuningJob, oder CreateModel. aufrufen.

Anmerkung

Netzwerkisolierung ist erforderlich, um Trainingsjobs und -modelle unter Verwendung von Ressourcen von auszuführen AWS Marketplace. Für zusätzliche Sicherheit AWS Marketplace Bilder laufen innerhalb eines AmazonVPC. Sie haben nur Zugriff auf Daten in ihren lokalen Dateisystemen.

Wenn Sie die Netzwerkisolierung aktivieren, können die Container keine ausgehenden Netzwerkanrufe tätigen, auch nicht an andere AWS Dienste wie Amazon S3. Darüber hinaus nein AWS Anmeldeinformationen werden der Container-Laufzeitumgebung zur Verfügung gestellt. Bei einem Trainingsjob mit mehreren Instanzen ist der eingehende und ausgehende Netzwerkverkehr auf die Peers der einzelnen Trainingscontainer beschränkt. SageMaker führt weiterhin Download- und Upload-Operationen für Amazon S3 durch, wobei Ihre SageMaker Ausführungsrolle unabhängig vom Trainings- oder Inferenzcontainer verwendet wird.

Die folgenden verwalteten SageMaker Container unterstützen keine Netzwerkisolierung, da sie Zugriff auf Amazon S3 benötigen:

  • Chainer

  • SageMaker Verstärkendes Lernen

Netzwerkisolierung mit einem VPC

Die Netzwerkisolierung kann in Verbindung mit a verwendet werdenVPC. In diesem Szenario werden der Download und Upload von Kundendaten und Modellartefakten über Ihr VPC Subnetz geleitet. Die Trainings- und Inferenzcontainer selbst sind jedoch weiterhin vom Netzwerk isoliert und haben keinen Zugriff auf Ressourcen in Ihrem VPC oder im Internet.