Configurar un modelo para el acceso a Amazon VPC Configurar la VPC privada para el alojamiento de SageMaker

Conceder acceso a los punto de conexión alojados de SageMaker a los recursos de su Amazon VPC

Configurar un modelo para el acceso a Amazon VPC

Para especificar subredes y grupos de seguridad en su VPC privada, utilice el parámetro de solicitud VpcConfig de la API CreateModel o proporcione esta información cuando cree un modelo en la consola de SageMaker. SageMaker utiliza esta información para crear interfaces de red y, a continuación, las asocia a sus contenedores de modelos. Las interfaces de red proporcionan a sus contenedores de modelos una conexión de red en su VPC que no está conectada a Internet. También permiten al modelo conectarse a recursos en su VPC privada.

nota

Debe crear al menos dos subredes en zonas de disponibilidad distintas en su VPC privada, incluso si solo dispone de una instancia de alojamiento.

A continuación se muestra un ejemplo del parámetro VpcConfig incluido en su llamada a CreateModel:


VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }

Configurar la VPC privada para el alojamiento de SageMaker

Cuando configure la VPC privada para sus modelos de SageMaker, utilice las siguientes directrices. Para obtener información sobre la configuración de una VPC, consulte Working with VPCs and Subnets en la Guía del usuario de Amazon VPC.

Temas

Cómo asegurar que las subredes dispongan de suficientes direcciones IP
Crear un punto de conexión de VPC de Amazon S3
Uso de una política de puntos de conexión personalizada para restringir el acceso a Amazon S3
Incorporación de permisos para el acceso al punto de conexión de los contenedores que se ejecutan en una VPC a las políticas de IAM personalizadas
Configurar tablas de ruteo
Conexión a recursos fuera de la VPC

Cómo asegurar que las subredes dispongan de suficientes direcciones IP

Las instancias de entrenamiento que no usen un Elastic Fabric Adapter (EFA) deben tener al menos 2 direcciones IP privadas. Las instancias de entrenamiento que utilizan una EFA deben tener al menos 5 direcciones IP privadas. Para obtener más información, consulte Varias direcciones IP en la Guía del usuario de Amazon EC2.

Crear un punto de conexión de VPC de Amazon S3

Si configura la VPC de manera que los contenedores de modelos no dispongan de acceso a Internet, no se podrán conectar a los buckets de Amazon S3 que contienen sus datos a no ser que cree un punto de conexión de VPC que permita el acceso. Si crea un punto de enlace de la VPC, permite a los contenedores de modelo obtener acceso a los buckets en los que almacena los datos y los artefactos de modelos. Le recomendamos que también cree una política personalizada que permita solo solicitudes de su VPC privada para obtener acceso a sus buckets de S3. Para obtener más información, consulte Puntos de enlace para Amazon S3.

Para crear un punto de conexión de VPC de Amazon S3:

Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
En el panel de navegación, elija Endpoints (Puntos de enlace) y, a continuación, elija Create Endpoint (Crear punto de enlace).
En Nombre del servicio, elija com.amazonaws.region.s3, donde region es el nombre de la región de AWS donde reside la VPC.
En VPC, elija la VPC que desea usar para este punto de enlace.
En Configurar las tablas de enrutamiento, elija las tablas de enrutamiento que usará el punto de conexión. El servicio de VPC agregará automáticamente una ruta a cada tabla de enrutamiento que elija que dirige el tráfico de Amazon S3 al nuevo punto de conexión.
En Política, elija Acceso completo para permitir acceso completo al servicio de Amazon S3 a cualquier usuario o servicio dentro de la VPC. Para restringir el acceso más, elija Custom (Personalizado). Para obtener más información, consulte Uso de una política de puntos de conexión personalizada para restringir el acceso a Amazon S3.

Uso de una política de puntos de conexión personalizada para restringir el acceso a Amazon S3

La política de puntos de conexión predeterminada permite acceso completo a Amazon Simple Storage Service (Amazon S3) a cualquier usuario o servicio de la VPC. Para restringir aún más el acceso a Amazon S3, cree una política de puntos de conexión personalizada. Para obtener más información, consulte Using Endpoint Policies for Amazon S3.

También puede utilizar una política de bucket para restringir el acceso a los buckets de S3 a solo el tráfico que proceda de su Amazon VPC. Para obtener más información, consulte Using Amazon S3 Bucket Policies.

Restricción de la instalación de paquetes en el contenedor de modelos con una política de puntos de enlace personalizada

La política de punto de enlace predeterminada permite a los usuarios instalar paquetes desde los repositorios de Amazon Linux y Amazon Linux 2 en el contenedor de modelos. Si no desea que los usuarios instalen paquetes desde esos repositorios, cree una política de puntos de enlace personalizada que deniegue de forma explícita el acceso a los repositorios de Amazon Linux y Amazon Linux 2. A continuación se muestra un ejemplo de una política que deniega el acceso a estos repositorios:


{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

Incorporación de permisos para el acceso al punto de conexión de los contenedores que se ejecutan en una VPC a las políticas de IAM personalizadas

La política administrada SageMakerFullAccess incluye los permisos que necesita para usar modelos configurados para el acceso a Amazon VPC con un punto de conexión. Estos permisos permiten a SageMaker crear una interfaz de red elástica y asociarla a contenedores de modelos que se ejecutan en una VPC. Si usa su propia política de IAM, debe agregar los siguientes permisos a esta política para usar modelos configurados para el acceso a VPC.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface"
            ],
            "Resource": "*"
        }
    ]
}

Para obtener más información sobre la política administrada SageMakerFullAccess, consulte Política administrada por AWS: AmazonSageMakerFullAccess.

Configurar tablas de ruteo

Utilice la configuración de DNS predeterminada para su tabla de enrutamiento de punto de conexión, de manera que se resuelvan las URL de Amazon S3 estándar (por ejemplo, http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket). Si no utiliza la configuración de DNS predeterminada, asegúrese de que las URL que utiliza especifiquen las ubicaciones de los datos en su resolución de modelos mediante la configuración de tablas de ruteo de punto de enlace. Para obtener información sobre las tablas de enrutamiento de punto de conexión de VPC, consulte Routing for Gateway Endpoints en la Guía del usuario de Amazon VPC.

Conexión a recursos fuera de la VPC

Si configura la VPC de manera que no disponga de acceso a Internet, los modelos que usan esa VPC no disponen de acceso a los recursos fuera de la VPC. Si su modelo precisa de acceso a recursos fuera de la VPC, proporcione acceso con una de las siguientes opciones:

Si su modelo precisa acceso a un servicio de AWS que admita puntos de enlace de la VPC de la interfaz, cree un punto de enlace que conectar a ese servicio. Para obtener una lista de servicios que admiten puntos de conexión de interfaz, consulte Puntos de conexión de VPC en la Guía del usuario de Amazon VPC. Para obtener información sobre la creación de un punto de conexión de VPC de la interfaz, consulte Interface VPC Endpoints (AWS PrivateLink) en la Guía del usuario de Amazon VPC.
Si su modelo necesita acceso a un servicio de AWS que no admite puntos de enlace de la VPC de interfaz o a un recurso fuera de AWS, cree una gateway NAT y configure sus grupos de seguridad para permitir conexiones salientes. Para obtener información sobre la configuración de una gateway NAT para su VPC, consulte Escenario 2: VPC con subredes públicas y privadas (NAT) en la Guía del usuario de Amazon Virtual Private Cloud.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Conceder acceso a los trabajos de entrenamiento de SageMaker a los recursos de su Amazon VPC

Conceder acceso a los trabajos de transformación por lotes a los recursos de su Amazon VPC