Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Geben Sie SageMaker KI-Kompilierungsjobs Zugriff auf Ressourcen in Ihrer Amazon VPC

PDF
RSS
Fokusmodus
Geben Sie SageMaker KI-Kompilierungsjobs Zugriff auf Ressourcen in Ihrer Amazon VPC - Amazon SageMaker KI
Konfigurieren Sie einen Kompilierungsauftrag für Amazon VPC AccessKonfigurieren Sie Ihre private VPC für die SageMaker KI-Kompilierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anmerkung

Für Kompilierungsaufträge können Sie nur Subnetze mit einer Standard-VPC konfigurieren, in denen Ihr Auftrag auf gemeinsam genutzter Hardware läuft. Weitere Informationen zum Tenancy-Attribut für VPCs finden Sie unter Dedicated Instances.

Konfigurieren Sie einen Kompilierungsauftrag für Amazon VPC Access

Um Subnetze und Sicherheitsgruppen in Ihrer privaten VPC anzugeben, verwenden Sie den VpcConfig Anforderungsparameter der CreateCompilationJobAPI oder geben Sie diese Informationen an, wenn Sie einen Kompilierungsauftrag in der SageMaker AI-Konsole erstellen. SageMaker AI Neo verwendet diese Informationen, um Netzwerkschnittstellen zu erstellen und sie an Ihre Kompilierungsjobs anzuhängen. Die Netzwerkschnittstellen bieten Kompilierungsaufträge mit einer Netzwerkverbindung innerhalb Ihrer VPC, die nicht mit dem Internet verbunden ist. Sie ermöglichen es Ihrem Kompilierungsauftrag auch, sich mit Ressourcen in Ihrer privaten VPC zu verbinden. Im Folgenden sehen Sie ein Beispiel des Parameters VpcConfig, den Sie in Ihrem Aufruf zu CreateCompilationJob hinzufügen:

VpcConfig: {"Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

Konfigurieren Sie Ihre private VPC für die SageMaker KI-Kompilierung

Beachten Sie bei der Konfiguration der privaten VPC für Ihre SageMaker KI-Kompilierungsjobs die folgenden Richtlinien. Informationen zur Einrichtung einer VPC finden Sie unter Arbeiten mit VPCs und Subnetzen im Amazon VPC-Benutzerhandbuch.

Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben

Ihre VPC-Subnetze sollten mindestens zwei private IP-Adressen für jede Instance in einem Kompilierungsauftrag haben. Weitere Informationen finden Sie unter VPC and Subnet Sizing for IPv4 im Amazon VPC-Benutzerhandbuch.

Erstellen eines Amazon S3 VPC-Endpunkts

Wenn Sie Ihre VPC so konfigurieren, dass sie den Zugriff auf das Internet blockiert, kann SageMaker Neo keine Verbindung zu den Amazon S3 S3-Buckets herstellen, die Ihre Modelle enthalten, es sei denn, Sie erstellen einen VPC-Endpunkt, der den Zugriff ermöglicht. Indem Sie einen VPC-Endpunkt erstellen, ermöglichen Sie Ihren SageMaker Neo-Kompilierungsjobs den Zugriff auf die Buckets, in denen Sie Ihre Daten und Modellartefakte speichern. Wir empfehlen, dass Sie auch eine benutzerdefinierte Richtlinie erstellen, die nur Anforderungen von Ihrer privaten VPC erlaubt, auf Ihre S3-Buckets zuzugreifen. Weitere Informationen finden Sie unter Endpunkte für Amazon S3.

So erstellen Sie einen S3-VPC-Endpunkt:

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpoints (Endpunkte) und anschließend Create Endpoint (Endpunkt erstellen) aus.

  3. Suchen Sie nach dem Dienstnamen nach com.amazonaws. region.s3, wobei der Name der Region region ist, in der sich Ihre VPC befindet.

  4. Wählen Sie den Gateway-Typ.

  5. Wählen Sie unter VPC die VPC aus, die Sie für diesen Endpunkt verwenden möchten.

  6. Für Configure route tables wählen Sie die Routing-Tabellen, die von dem Endpunkt verwendet werden sollen. Der VPC-Service fügt automatisch jeder von Ihnen ausgewählten Routing-Tabelle eine Route hinzu, über die der S3-Datenverkehr an den neuen Endpunkt geleitet wird.

  7. Wählen Sie unter Policy (Richtlinie) die Option Full Access (Vollzugriff) aus. So gewähren Sie allen Benutzern und Services innerhalb der VPC Vollzugriff auf den S3-Service. Wählen Sie Custom (Benutzerdefiniert) aus, um den Zugriff weiter einzuschränken. Weitere Informationen finden Sie unter Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3.

Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3

Standardmäßig wird über die Endpunktrichtlinie allen Benutzern oder Services in Ihrer VPC Vollzugriff auf S3 gewährt. Um den Zugriff auf S3 einzuschränken, erstellen Sie eine benutzerdefinierte Endpunktrichtlinie. Weitere Informationen finden Sie unter Verwendung von Endpunktrichtlinien für Amazon S3. Sie können auch eine Bucket-Richtlinie verwenden, um den Zugriff auf Ihre S3-Buckets auf den Datenverkehr zu beschränken, der von Ihrer Amazon VPC kommt. Weitere Informationen finden Sie unter Verwendung von Amazon S3 Bucket-Richtlinien. Im Folgenden finden Sie ein Beispiel für eine maßgeschneiderte Richtlinie:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::your-sample-bucket",
                "arn:aws:s3:::your-sample-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "aws:SourceVpce": [
                        "vpce-01234567890123456"
                    ]
                }
            }
        }
    ]
}

Hinzufügen von Berechtigungen für Kompilierungsaufträge, die in einer Amazon VPC ausgeführt werden, zu benutzerdefinierten IAM-Richtlinien

Die verwaltete Richtlinie von SageMakerFullAccess enthält die Berechtigungen, die Sie für die Verwendung von Modellen benötigen, die für den Amazon VPC-Zugriff mit einem Endpunkt konfiguriert sind. Diese Berechtigungen ermöglichen es SageMaker Neo, eine elastic network interface zu erstellen und sie an einen Kompilierungsjob anzuhängen, der in einer Amazon-VPC ausgeführt wird. Wenn Sie Ihre eigene IAM-Richtlinie verwenden, müssen Sie die folgenden Berechtigungen zu dieser Richtlinie hinzufügen, um für den Amazon VPC-Zugriff konfigurierte Modelle zu verwenden.

{"Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}

Weitere Informationen über die verwalteten SageMakerFullAccess-Richtlinie finden Sie unter AWS verwaltete Richtlinie: AmazonSageMakerFullAccess.

Konfigurieren der Routing-Tabellen

Verwenden Sie die Standard-DNS-Einstellungen für Ihre Endpunkt-Routing-Tabelle, sodass die standardmäßige Amazon S3 S3-Auflösung URLs (z. B.http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) gewährleistet ist. Wenn Sie keine Standard-DNS-Einstellungen verwenden, stellen Sie sicher, URLs dass die, die Sie zur Angabe der Speicherorte der Daten in Ihren Kompilierungsaufträgen verwenden, durch die Konfiguration der Endpunkt-Routing-Tabellen aufgelöst werden. Informationen über Routing-Tabellen für VPC-Endpunkte finden Sie unter Routing für Gateway-Endpunkte im Amazon VPC Benutzerhandbuch.

Konfigurieren der VPC-Sicherheitsgruppe

In Ihrer Sicherheitsgruppe für den Kompilierungsauftrag müssen Sie ausgehende Kommunikation zu Ihren Amazon S3 Amazon VPC-Endpunkten und den für den Kompilierungsauftrag verwendeten Subnetz-CIDR-Bereichen zulassen. Weitere Informationen finden Sie unter Regeln für Sicherheitsgruppen und Zugriffskontrolle auf Services mit Amazon VPC-Endpunkten.

Auf dieser Seite

Related resources

Amazon SageMaker AI API-Referenz
AWS CLI Befehle für Amazon SageMaker AI
SDKs und Werkzeuge 

Related resources

Amazon SageMaker AI API-Referenz
AWS CLI Befehle für Amazon SageMaker AI
SDKs und Werkzeuge 
DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.