Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ofrezca a Batch Transform Jobs acceso a los recursos de su Amazon VPC
Para controlar el acceso a tus datos y a los trabajos de transformación por lotes, te recomendamos que crees un Amazon privado VPC y lo configures de forma que no se pueda acceder a tus trabajos a través de la Internet pública. Al crear un modelo, debe especificar su VPC configuración privada especificando subredes y grupos de seguridad. A continuación, especifique el mismo modelo al crear un trabajo de transformación por lotes. Al especificar las subredes y los grupos de seguridad, SageMaker crea interfaces de red elásticas que se asocian a los grupos de seguridad de una de las subredes. Las interfaces de red permiten que los contenedores de su modelo se conecten a los recursos de su. VPC Para obtener información sobre las interfaces de red, consulte Elastic Network Interfaces en la Guía del VPC usuario de Amazon.
Este documento explica cómo añadir VPC configuraciones de Amazon para trabajos de transformación por lotes.
Configurar un trabajo de transformación por lotes para Amazon VPC Access
Para especificar subredes y grupos de seguridad en su VPC entorno privado, utilice el parámetro de VpcConfig solicitud o proporcione esta información al crear un modelo en la SageMaker consola. CreateModelAPI A continuación, especifique el mismo modelo en el parámetro de ModelName solicitud o en el campo Nombre del modelo al crear un trabajo de transformación en la SageMaker consola. CreateTransformJobAPI SageMaker utiliza esta información para crear interfaces de red y conectarlas a los contenedores de modelos. Las interfaces de red proporcionan a sus contenedores modelo una conexión de red VPC interna que no está conectada a Internet. También permiten que su trabajo de transformación se conecte a los recursos de su entorno privadoVPC.
A continuación se muestra un ejemplo del parámetro VpcConfig incluido en su llamada a CreateModel:
VpcConfig: { "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] }
Si va a crear un modelo mediante la CreateModel API operación, la función de IAM ejecución que utilice para crear el modelo debe incluir los permisos descritos enCreateModel API: Permisos del rol de ejecución, incluidos los siguientes permisos necesarios para un modelo privadoVPC.
Al crear un modelo en la consola, si selecciona Crear un nuevo rol en la sección Configuración del modelo, la AmazonSageMakerFullAccess
{ "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups"
Configure su privacidad VPC para SageMaker Batch Transform
Al configurar la privacidad VPC para sus trabajos de transformación SageMaker por lotes, siga las siguientes pautas. Para obtener información sobre la configuración de unaVPC, consulte Trabajar con subredes VPCs y subredes en la Guía del VPC usuario de Amazon.
Temas
- Cómo asegurar que las subredes dispongan de suficientes direcciones IP
- Creación de un VPC punto de conexión Amazon S3
- Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3
- Configurar tablas de ruteo
- Configure el grupo VPC de seguridad
- Conéctese a recursos ajenos a su VPC
Cómo asegurar que las subredes dispongan de suficientes direcciones IP
Sus VPC subredes deben tener al menos dos direcciones IP privadas para cada instancia en un trabajo de transformación. Para obtener más información, consulte VPCTamaño de subred IPv4 en la Guía del VPCusuario de Amazon.
Creación de un VPC punto de conexión Amazon S3
Si configura sus contenedores modelo VPC para que no tengan acceso a Internet, no podrán conectarse a los buckets de Amazon S3 que contienen sus datos, a menos que cree un VPC punto final que permita el acceso. Al crear un VPC punto final, permite que sus contenedores modelo accedan a los depósitos en los que almacena los datos y los artefactos del modelo. Le recomendamos que también cree una política personalizada que permita que solo las solicitudes de su entorno privado accedan VPC a sus depósitos de S3. Para obtener más información, consulte Puntos de enlace para Amazon S3.
Para crear un VPC punto final de S3:
-
Abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/
. -
En el panel de navegación, elija Endpoints (Puntos de enlace) y, a continuación, elija Create Endpoint (Crear punto de enlace).
-
Para el nombre del servicio, selecciona com.amazonaws.
region.s3, donderegiones el nombre de la región en la que VPC reside. -
Para VPC, elija el VPC que desee usar para este punto final.
-
En Configurar tablas de enrutamiento, seleccione las tablas de enrutamiento que debe usar el punto de conexión. El VPC servicio agrega automáticamente una ruta a cada tabla de rutas que seleccione para dirigir el tráfico de S3 al nuevo punto final.
-
En Política, elija Acceso total para permitir el acceso total al servicio S3 por parte de cualquier usuario o servicio delVPC. Elija Personalizado para restringir el acceso más. Para obtener más información, consulte Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3.
Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3
La política de puntos finales predeterminada permite el acceso total a S3 para cualquier usuario o servicio de su empresaVPC. Para restringir aún más el acceso a S3, cree una política de puntos de enlace personalizada. Para obtener más información, consulte Using Endpoint Policies for Amazon S3. También puedes usar una política de buckets para restringir el acceso a tus buckets de S3 únicamente al tráfico que provenga de tu AmazonVPC. Para obtener más información, consulte Using Amazon S3 Bucket Policies.
Restringir la instalación de paquetes en el contenedor de modelos
La política de punto de enlace predeterminada permite a los usuarios instalar paquetes desde los repositorios de Amazon Linux y Amazon Linux 2 en el paquete de capacitación. Si no desea que los usuarios instalen paquetes desde ese repositorio, cree una política de punto de enlace personalizada que deniegue de forma explícita el acceso a los repositorios de Amazon Linux y Amazon Linux 2. A continuación se muestra un ejemplo de una política que deniega el acceso a estos repositorios:
{ "Statement": [ { "Sid": "AmazonLinuxAMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::packages.*.amazonaws.com/*", "arn:aws:s3:::repo.*.amazonaws.com/*" ] } ] } { "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" ] } ] }
Configurar tablas de ruteo
Utilice la DNS configuración predeterminada para la tabla de rutas de puntos finales, de modo que se resuelva el Amazon S3 estándar URLs (por ejemplohttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket). Si no utiliza la DNS configuración predeterminada, asegúrese de que la URLs que utiliza para especificar las ubicaciones de los datos en sus trabajos de transformación por lotes se resuelva configurando las tablas de rutas de los puntos finales. Para obtener información sobre las tablas de enrutamiento de puntos VPC finales, consulte Enrutamiento para puntos de enlace de puerta de enlace en la Guía del VPC usuario de Amazon.
Configure el grupo VPC de seguridad
En la transformación por lotes distribuida, debe permitir la comunicación entre distintos contenedores en el mismo trabajo de transformación por lotes. Para ello, configure una regla para el grupo de seguridad que permita conexiones entrantes y salientes entre miembros del mismo grupo de seguridad. Los miembros del mismo grupo de seguridad deben poder comunicarse entre sí en todos los puertos. Para obtener más información, consulte Reglas del grupo de seguridad.
Conéctese a recursos ajenos a su VPC
Si configura el suyo VPC para que no tenga acceso a Internet, transforme por lotes los trabajos que VPC utilice sin acceso a recursos ajenos al suyoVPC. Si su trabajo de transformación por lotes necesita acceso a recursos ajenos al suyoVPC, proporcione acceso con una de las siguientes opciones:
-
Si su trabajo de transformación por lotes necesita acceso a un AWS servicio que admita VPC puntos finales de interfaz, cree un punto final para conectarse a ese servicio. Para obtener una lista de los servicios que admiten puntos de enlace de interfaz, consulte VPCEndpoints en la Guía VPCdel usuario de Amazon. Para obtener información sobre la creación de un VPC punto final de interfaz, consulte los puntos finales de interfaz VPC (AWS PrivateLink) en la Guía del VPC usuario de Amazon.
-
Si su trabajo de transformación por lotes necesita acceso a un AWS servicio que no admite VPC puntos finales de interfaz o a un recurso externo a AWS, cree una NAT puerta de enlace y configure sus grupos de seguridad para permitir las conexiones salientes. Para obtener información sobre cómo configurar una NAT puerta de enlace para ustedVPC, consulte Escenario 2: VPC con subredes públicas y privadas (NAT) en la Guía del usuario de Amazon Virtual Private Cloud.
