Geben Sie SageMaker Compilation Jobs Zugriff auf Ressourcen in Ihrem Amazon VPC - Amazon SageMaker

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Geben Sie SageMaker Compilation Jobs Zugriff auf Ressourcen in Ihrem Amazon VPC

Anmerkung

Für Kompilierungsaufträge können Sie nur Subnetze mit einer Standardtenancy konfigurieren, VPC in der Ihr Job auf gemeinsam genutzter Hardware ausgeführt wird. Weitere Informationen zum Tenancy-Attribut für finden Sie unter Dedicated VPCs Instances.

Einen Kompilierungsjob für Amazon VPC Access konfigurieren

Um Subnetze und Sicherheitsgruppen in Ihrem privaten Bereich anzugebenVPC, verwenden Sie den VpcConfig Anforderungsparameter von oder geben Sie diese Informationen an CreateCompilationJobAPI, wenn Sie einen Kompilierungsauftrag in der SageMaker Konsole erstellen. SageMaker Neo verwendet diese Informationen, um Netzwerkschnittstellen zu erstellen und sie an Ihre Kompilierungsaufträge anzuhängen. Die Netzwerkschnittstellen bieten Kompilierungsaufträge mit einer Netzwerkverbindung innerhalb Ihres VPC Computers, die nicht mit dem Internet verbunden ist. Sie ermöglichen es Ihrem Kompilierungsjob auch, eine Verbindung zu privaten Ressourcen herzustellenVPC. Im Folgenden sehen Sie ein Beispiel des Parameters VpcConfig, den Sie in Ihrem Aufruf zu CreateCompilationJob hinzufügen:

VpcConfig: {"Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] }

Konfigurieren Sie Ihre privaten Daten VPC für die SageMaker Kompilierung

Beachten Sie bei der Konfiguration von Private VPC für Ihre SageMaker Kompilierungsjobs die folgenden Richtlinien. Informationen zur Einrichtung von finden Sie unter Arbeiten mit VPCs und Subnetzen im VPCAmazon-Benutzerhandbuch. VPC

Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben

Ihre VPC Subnetze sollten mindestens zwei private IP-Adressen für jede Instance in einem Kompilierungsauftrag haben. Weitere Informationen finden Sie unter VPCund Subnet Sizing for IPv4 im VPCAmazon-Benutzerhandbuch.

Erstellen Sie einen Amazon S3 VPC S3-Endpunkt

Wenn Sie Ihren VPC so konfigurieren, dass er den Zugriff auf das Internet blockiert, kann SageMaker Neo keine Verbindung zu den Amazon S3 S3-Buckets herstellen, die Ihre Modelle enthalten, es sei denn, Sie erstellen einen VPC Endpunkt, der den Zugriff ermöglicht. Indem Sie einen VPC Endpunkt erstellen, ermöglichen Sie Ihren SageMaker Neo-Kompilierungsaufträgen den Zugriff auf die Buckets, in denen Sie Ihre Daten und Modellartefakte speichern. Wir empfehlen Ihnen, auch eine benutzerdefinierte Richtlinie zu erstellen, die nur Anfragen von Ihrem privaten Benutzer den VPC Zugriff auf Ihre S3-Buckets ermöglicht. Weitere Informationen finden Sie unter Endpunkte für Amazon S3.

So erstellen Sie einen VPC S3-Endpunkt:
  1. Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpoints (Endpunkte) und anschließend Create Endpoint (Endpunkt erstellen) aus.

  3. Suchen Sie nach Service Name nach com.amazonaws.region.s3, wo region ist der Name der Region, in der Sie VPC wohnen.

  4. Wählen Sie den Gateway-Typ.

  5. Wählen Sie für den aus VPC, den VPC Sie für diesen Endpunkt verwenden möchten.

  6. Für Configure route tables wählen Sie die Routing-Tabellen, die von dem Endpunkt verwendet werden sollen. Der VPC Service fügt jeder ausgewählten Routentabelle automatisch eine Route hinzu, die jeglichen S3-Verkehr auf den neuen Endpunkt weiterleitet.

  7. Wählen Sie unter Richtlinie die Option Vollzugriff aus, um allen Benutzern oder Diensten innerhalb von vollen Zugriff auf den S3-Dienst zu gewährenVPC. Wählen Sie Custom (Benutzerdefiniert) aus, um den Zugriff weiter einzuschränken. Weitere Informationen finden Sie unter Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3.

Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3

Die standardmäßige Endpunktrichtlinie ermöglicht vollen Zugriff auf S3 für jeden Benutzer oder Dienst in IhremVPC. Um den Zugriff auf S3 einzuschränken, erstellen Sie eine benutzerdefinierte Endpunktrichtlinie. Weitere Informationen finden Sie unter Verwendung von Endpunktrichtlinien für Amazon S3. Sie können auch eine Bucket-Richtlinie verwenden, um den Zugriff auf Ihre S3-Buckets auf den Datenverkehr zu beschränken, der von Ihrem Amazon VPC stammt. Weitere Informationen finden Sie unter Verwendung von Amazon S3 Bucket-Richtlinien. Im Folgenden finden Sie ein Beispiel für eine maßgeschneiderte Richtlinie:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::your-sample-bucket", "arn:aws:s3:::your-sample-bucket/*" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": [ "vpce-01234567890123456" ] } } } ] }

Berechtigungen für Kompilierungsjobs, die in einem Amazon ausgeführt werdenVPC, zu benutzerdefinierten IAM Richtlinien hinzufügen

Die SageMakerFullAccess verwaltete Richtlinie umfasst die Berechtigungen, die Sie benötigen, um Modelle zu verwenden, die für Amazon VPC Access mit einem Endpunkt konfiguriert sind. Diese Berechtigungen ermöglichen es SageMaker Neo, eine elastic network interface zu erstellen und sie an einen Kompilierungsjob anzuhängen, der in einem Amazon ausgeführt wirdVPC. Wenn Sie Ihre eigene IAM Richtlinie verwenden, müssen Sie dieser Richtlinie die folgenden Berechtigungen hinzufügen, um Modelle verwenden zu können, die für Amazon VPC Access konfiguriert sind.

{"Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "ec2:DescribeVpcEndpoints", "ec2:DescribeDhcpOptions", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "*" } ] }

Weitere Informationen über die verwalteten SageMakerFullAccess-Richtlinie finden Sie unter AWS verwaltete Richtlinie: AmazonSageMakerFullAccess.

Konfigurieren der Routing-Tabellen

Verwenden Sie die DNS Standardeinstellungen für Ihre Endpunkt-Routing-Tabelle, sodass die Standardlösung von Amazon S3 URLs (z. B.http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) funktioniert. Wenn Sie keine DNS Standardeinstellungen verwenden, stellen Sie sicher, URLs dass die, die Sie zur Angabe der Speicherorte der Daten in Ihren Kompilierungsaufträgen verwenden, durch die Konfiguration der Endpunkt-Routing-Tabellen gelöst werden. Informationen zu VPC Endpunkt-Routing-Tabellen finden Sie unter Routing für Gateway-Endpunkte im VPCAmazon-Benutzerhandbuch.

Konfigurieren Sie die VPC Sicherheitsgruppe

In Ihrer Sicherheitsgruppe für den Kompilierungsauftrag müssen Sie ausgehende Kommunikation zu Ihren Amazon S3 VPC S3-Amazon-Endpunkten und den für den Kompilierungsauftrag verwendeten CIDR Subnetzbereichen zulassen. Weitere Informationen finden Sie unter Regeln für Sicherheitsgruppen und Zugriffskontrolle auf Dienste mit VPC Amazon-Endpunkten.