Configurar un modelo para Amazon VPC Access Configura tu red privada VPC para el alojamiento SageMaker

Ofrezca a los endpoints SageMaker alojados acceso a los recursos de su Amazon VPC

Configurar un modelo para Amazon VPC Access

Para especificar subredes y grupos de seguridad en su VPC entorno privado, utilice el parámetro de VpcConfig solicitud o proporcione esta información al crear un modelo en la SageMaker consola. CreateModelAPI SageMaker utiliza esta información para crear interfaces de red y conectarlas a los contenedores del modelo. Las interfaces de red proporcionan a sus contenedores modelo una conexión de red VPC interna que no está conectada a Internet. También permiten que su modelo se conecte a los recursos de su entorno privadoVPC.

nota

Debe crear al menos dos subredes en diferentes zonas de disponibilidad de su red privadaVPC, incluso si solo tiene una instancia de alojamiento.

A continuación se muestra un ejemplo del parámetro VpcConfig incluido en su llamada a CreateModel:


VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }

Configura tu red privada VPC para el alojamiento SageMaker

Al configurar la privacidad VPC para sus SageMaker modelos, siga las siguientes pautas. Para obtener información sobre la configuración de unaVPC, consulte Trabajar con subredes VPCs y subredes en la Guía del VPC usuario de Amazon.

Temas

Cómo asegurar que las subredes dispongan de suficientes direcciones IP
Creación de un VPC punto de conexión Amazon S3
Uso de una política de puntos de conexión personalizada para restringir el acceso a Amazon S3
Agregue permisos de acceso al punto final para los contenedores que se ejecutan en una VPC a las políticas personalizadas IAM
Configurar tablas de ruteo
Conéctese a recursos ajenos a su VPC

Cómo asegurar que las subredes dispongan de suficientes direcciones IP

Las instancias de entrenamiento que no usen un adaptador Elastic Fabric (EFA) deben tener al menos 2 direcciones IP privadas. Las instancias de entrenamiento que utilizan an EFA deben tener al menos 5 direcciones IP privadas. Para obtener más información, consulta Múltiples direcciones IP en la Guía del EC2 usuario de Amazon.

Creación de un VPC punto de conexión Amazon S3

Si configura sus contenedores modelo VPC para que no tengan acceso a Internet, no podrán conectarse a los buckets de Amazon S3 que contienen sus datos, a menos que cree un VPC punto final que permita el acceso. Al crear un VPC punto final, permite que los contenedores de su modelo accedan a los depósitos en los que almacena los datos y los artefactos del modelo. Le recomendamos que también cree una política personalizada que permita que solo las solicitudes de su entorno privado accedan VPC a sus depósitos de S3. Para obtener más información, consulte Puntos de enlace para Amazon S3.

Para crear un VPC punto de conexión Amazon S3:

Abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/.
En el panel de navegación, elija Endpoints (Puntos de enlace) y, a continuación, elija Create Endpoint (Crear punto de enlace).
Para el nombre del servicio, selecciona com.amazonaws.region.s3, donde region es el nombre de la AWS región en la que VPC reside.
Para VPC, elija el VPC que desee usar para este punto final.
En Configurar las tablas de enrutamiento, elija las tablas de enrutamiento que usará el punto de conexión. El VPC servicio añade automáticamente una ruta a cada tabla de rutas que elija para dirigir el tráfico de Amazon S3 al nuevo punto de conexión.
En Política, elija Acceso total para permitir el acceso total al servicio Amazon S3 por parte de cualquier usuario o servicio delVPC. Para restringir el acceso más, elija Custom (Personalizado). Para obtener más información, consulte Uso de una política de puntos de conexión personalizada para restringir el acceso a Amazon S3.

Uso de una política de puntos de conexión personalizada para restringir el acceso a Amazon S3

La política de puntos de conexión predeterminada permite el acceso total a Amazon Simple Storage Service (Amazon S3) para cualquier usuario o servicio de su empresa. VPC Para restringir aún más el acceso a Amazon S3, cree una política de puntos de conexión personalizada. Para obtener más información, consulte Uso de políticas de punto de conexión para Amazon S3.

También puedes usar una política de buckets para restringir el acceso a tus buckets de S3 únicamente al tráfico que provenga de tu AmazonVPC. Para obtener más información, consulte Using Amazon S3 Bucket Policies.

Restricción de la instalación de paquetes en el contenedor de modelos con una política de puntos de enlace personalizada

La política de punto de enlace predeterminada permite a los usuarios instalar paquetes desde los repositorios de Amazon Linux y Amazon Linux 2 en el contenedor de modelos. Si no desea que los usuarios instalen paquetes desde esos repositorios, cree una política de puntos de enlace personalizada que deniegue de forma explícita el acceso a los repositorios de Amazon Linux y Amazon Linux 2. A continuación se muestra un ejemplo de una política que deniega el acceso a estos repositorios:


{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

Agregue permisos de acceso al punto final para los contenedores que se ejecutan en una VPC a las políticas personalizadas IAM

La política SageMakerFullAccess gestionada incluye los permisos que necesitas para usar los modelos configurados para el VPC acceso de Amazon con un punto final. Estos permisos permiten SageMaker crear una interfaz de red elástica y adjuntarla a contenedores modelo que se ejecutan en unVPC. Si usa su propia IAM política, debe agregar los siguientes permisos a esa política para usar los modelos configurados para el VPC acceso.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface"
            ],
            "Resource": "*"
        }
    ]
}

Para obtener más información sobre la política administrada SageMakerFullAccess, consulte AWS política gestionada: AmazonSageMakerFullAccess.

Configurar tablas de ruteo

Utilice la DNS configuración predeterminada para la tabla de rutas de puntos finales, de modo que se resuelva el Amazon S3 estándar URLs (por ejemplohttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket). Si no utiliza la DNS configuración predeterminada, asegúrese de que la URLs que utiliza para especificar las ubicaciones de los datos en sus modelos se resuelva configurando las tablas de rutas de los puntos finales. Para obtener información sobre las tablas de enrutamiento de puntos VPC finales, consulte Enrutamiento para puntos de enlace de puerta de enlace en la Guía del VPC usuario de Amazon.

Conéctese a recursos ajenos a su VPC

Si configuras el tuyo VPC para que no tenga acceso a Internet, los modelos que lo usen VPC no tendrán acceso a recursos ajenos al tuyoVPC. Si tu modelo necesita acceder a recursos ajenos al tuyoVPC, proporciona acceso con una de las siguientes opciones:

Si su modelo necesita acceder a un AWS servicio que admita VPC puntos finales de interfaz, cree un punto final para conectarse a ese servicio. Para obtener una lista de los servicios que admiten puntos de enlace de interfaz, consulte VPCEndpoints en la Guía VPCdel usuario de Amazon. Para obtener información sobre la creación de un VPC punto final de interfaz, consulte Interface VPC Endpoints (AWS PrivateLink) en la Guía del VPC usuario de Amazon.
Si su modelo necesita acceder a un AWS servicio que no admite VPC puntos finales de interfaz o a un recurso externo AWS, cree una NAT puerta de enlace y configure sus grupos de seguridad para permitir las conexiones salientes. Para obtener información sobre cómo configurar una NAT puerta de enlace para ustedVPC, consulte Escenario 2: VPC con subredes públicas y privadas (NAT) en la Guía del usuario de Amazon Virtual Private Cloud.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ofrezca a los trabajos de SageMaker formación acceso a los recursos de su Amazon VPC

Ofrezca a Batch Transform Jobs acceso a los recursos de su Amazon VPC