Configurar un modelo para el acceso a Amazon VPC Configura tu VPC privada para el alojamiento SageMaker

Ofrezca a los endpoints SageMaker alojados acceso a los recursos de su Amazon VPC

Configurar un modelo para el acceso a Amazon VPC

Para especificar subredes y grupos de seguridad en su VPC privada, utilice VpcConfig el parámetro de solicitud de CreateModella API o proporcione esta información al crear un modelo en SageMaker la consola. SageMaker utiliza esta información para crear interfaces de red y conectarlas a los contenedores del modelo. Las interfaces de red proporcionan a sus contenedores de modelos una conexión de red en su VPC que no está conectada a Internet. También permiten al modelo conectarse a recursos en su VPC privada.

nota

Debe crear al menos dos subredes en zonas de disponibilidad distintas en su VPC privada, incluso si solo dispone de una instancia de alojamiento.

A continuación se muestra un ejemplo del parámetro VpcConfig incluido en su llamada a CreateModel:


VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }

Configura tu VPC privada para el alojamiento SageMaker

Al configurar la VPC privada para sus SageMaker modelos, siga las siguientes pautas. Para obtener información sobre la configuración de una VPC, consulte Working with VPCs and Subnets en la Guía del usuario de Amazon VPC.

Temas

Cómo asegurar que las subredes dispongan de suficientes direcciones IP
Crear un punto de conexión de VPC de Amazon S3
Uso de una política de puntos de conexión personalizada para restringir el acceso a Amazon S3
Incorporación de permisos para el acceso al punto de conexión de los contenedores que se ejecutan en una VPC a las políticas de IAM personalizadas
Configurar tablas de ruteo
Conexión a recursos fuera de la VPC

Cómo asegurar que las subredes dispongan de suficientes direcciones IP

Las instancias de entrenamiento que no usen un Elastic Fabric Adapter (EFA) deben tener al menos 2 direcciones IP privadas. Las instancias de entrenamiento que utilizan una EFA deben tener al menos 5 direcciones IP privadas. Para obtener más información, consulte Varias direcciones IP en la Guía del usuario de Amazon EC2.

Crear un punto de conexión de VPC de Amazon S3

Si configura la VPC de manera que los contenedores de modelos no dispongan de acceso a Internet, no se podrán conectar a los buckets de Amazon S3 que contienen sus datos a no ser que cree un punto de conexión de VPC que permita el acceso. Si crea un punto de enlace de la VPC, permite a los contenedores de modelo obtener acceso a los buckets en los que almacena los datos y los artefactos de modelos. Le recomendamos que también cree una política personalizada que permita solo solicitudes de su VPC privada para obtener acceso a sus buckets de S3. Para obtener más información, consulte Puntos de enlace para Amazon S3.

Para crear un punto de conexión de VPC de Amazon S3:

Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
En el panel de navegación, elija Endpoints (Puntos de enlace) y, a continuación, elija Create Endpoint (Crear punto de enlace).
En el campo Nombre del servicio, selecciona com.amazonaws. region .s3, donde region es el nombre de la AWS región en la que reside la VPC.
En VPC, elija la VPC que desea usar para este punto de enlace.
En Configurar las tablas de enrutamiento, elija las tablas de enrutamiento que usará el punto de conexión. El servicio de VPC agregará automáticamente una ruta a cada tabla de enrutamiento que elija que dirige el tráfico de Amazon S3 al nuevo punto de conexión.
En Política, elija Acceso completo para permitir acceso completo al servicio de Amazon S3 a cualquier usuario o servicio dentro de la VPC. Para restringir el acceso más, elija Custom (Personalizado). Para obtener más información, consulte Uso de una política de puntos de conexión personalizada para restringir el acceso a Amazon S3.

Uso de una política de puntos de conexión personalizada para restringir el acceso a Amazon S3

La política de puntos de conexión predeterminada permite acceso completo a Amazon Simple Storage Service (Amazon S3) a cualquier usuario o servicio de la VPC. Para restringir aún más el acceso a Amazon S3, cree una política de puntos de conexión personalizada. Para obtener más información, consulte Using Endpoint Policies for Amazon S3.

También puede utilizar una política de bucket para restringir el acceso a los buckets de S3 a solo el tráfico que proceda de su Amazon VPC. Para obtener más información, consulte Using Amazon S3 Bucket Policies.

Restricción de la instalación de paquetes en el contenedor de modelos con una política de puntos de enlace personalizada

La política de punto de enlace predeterminada permite a los usuarios instalar paquetes desde los repositorios de Amazon Linux y Amazon Linux 2 en el contenedor de modelos. Si no desea que los usuarios instalen paquetes desde esos repositorios, cree una política de puntos de enlace personalizada que deniegue de forma explícita el acceso a los repositorios de Amazon Linux y Amazon Linux 2. A continuación se muestra un ejemplo de una política que deniega el acceso a estos repositorios:


{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

Incorporación de permisos para el acceso al punto de conexión de los contenedores que se ejecutan en una VPC a las políticas de IAM personalizadas

La política administrada SageMakerFullAccess incluye los permisos que necesita para usar modelos configurados para el acceso a Amazon VPC con un punto de conexión. Estos permisos permiten SageMaker crear una interfaz de red elástica y adjuntarla a contenedores modelo que se ejecutan en una VPC. Si usa su propia política de IAM, debe agregar los siguientes permisos a esta política para usar modelos configurados para el acceso a VPC.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface"
            ],
            "Resource": "*"
        }
    ]
}

Para obtener más información sobre la política administrada SageMakerFullAccess, consulte AWS política gestionada: AmazonSageMakerFullAccess.

Configurar tablas de ruteo

Utilice la configuración de DNS predeterminada para su tabla de enrutamiento de punto de conexión, de manera que se resuelvan las URL de Amazon S3 estándar (por ejemplo, http://s3-aws-region.amazonaws.com/MyBucket). Si no utiliza la configuración de DNS predeterminada, asegúrese de que las URL que utiliza especifiquen las ubicaciones de los datos en su resolución de modelos mediante la configuración de tablas de ruteo de punto de enlace. Para obtener información sobre las tablas de enrutamiento de punto de conexión de VPC, consulte Routing for Gateway Endpoints en la Guía del usuario de Amazon VPC.

Conexión a recursos fuera de la VPC

Si configura la VPC de manera que no disponga de acceso a Internet, los modelos que usan esa VPC no disponen de acceso a los recursos fuera de la VPC. Si su modelo precisa de acceso a recursos fuera de la VPC, proporcione acceso con una de las siguientes opciones:

Si su modelo necesita acceder a un AWS servicio que admita puntos finales de VPC de interfaz, cree un punto final para conectarse a ese servicio. Para obtener una lista de servicios que admiten puntos de conexión de interfaz, consulte Puntos de conexión de VPC en la Guía del usuario de Amazon VPC. Para obtener información sobre la creación de un punto de enlace de VPC de interfaz, consulte Puntos de enlace de VPC de interfaz () en la Guía AWS PrivateLink del usuario de Amazon VPC.
Si su modelo necesita acceder a un AWS servicio que no admite puntos finales de VPC de interfaz o a un recurso externo AWS, cree una puerta de enlace NAT y configure sus grupos de seguridad para permitir las conexiones salientes. Para obtener información sobre la configuración de una gateway NAT para su VPC, consulte Escenario 2: VPC con subredes públicas y privadas (NAT) en la Guía del usuario de Amazon Virtual Private Cloud.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ofrezca a los trabajos de SageMaker formación acceso a los recursos de su Amazon VPC

Conceder acceso a los trabajos de transformación por lotes a los recursos de su Amazon VPC