Conéctese a SageMaker Within your VPC - Amazon SageMaker
Conectarse a SageMaker través de un punto final VPC de interfazUtilice la SageMaker formación y el alojamiento con recursos incluidos en su VPCCree una política VPC de puntos finales para SageMakerCree una política VPC de puntos finales para Amazon SageMaker Feature StoreConecte su red privada a su VPC

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conéctese a SageMaker Within your VPC

Puede conectarse directamente a Amazon Runtime SageMaker API o a Amazon SageMaker Runtime a través de un punto de enlace de interfaz en su nube privada virtual (VPC) en lugar de conectarse a través de Internet. Cuando utiliza un punto final de VPC interfaz, la SageMaker API comunicación entre usted VPC y Runtime se lleva a cabo de forma completa y segura dentro de una AWS red.

Conectarse a SageMaker través de un punto final VPC de interfaz

SageMaker APIY SageMaker Runtime son compatibles con los puntos de conexión de la interfaz Amazon Virtual Private Cloud (AmazonVPC) que funcionan con la tecnología de AWS PrivateLink. Cada VPC punto final está representado por una o más interfaces de red elásticas con direcciones IP privadas en las VPC subredes. Por ejemplo, una aplicación interna se VPC utiliza AWS PrivateLink para comunicarse con SageMaker Runtime. SageMakerEl tiempo de ejecución, a su vez, se comunica con el SageMaker punto final. AWS PrivateLink El uso le permite invocar su SageMaker punto final desde dentro del suyoVPC, como se muestra en el siguiente diagrama.

A se VPC usa AWS PrivateLink para comunicarse con un SageMaker punto final.

El punto final de la VPC interfaz lo conecta VPC directamente al SageMaker entorno SageMaker API o Runtime AWS PrivateLink sin utilizar una puerta de enlace, NAT dispositivo, VPN conexión o AWS Direct Connect conexión de Internet. Las instancias del usuario VPC no necesitan conectarse a una red pública de Internet para poder comunicarse con el SageMaker API SageMaker entorno de ejecución.

Puede crear un punto final de AWS PrivateLink interfaz para conectarse a SageMaker Runtime SageMaker o a él mediante AWS Management Console o AWS Command Line Interface (AWS CLI). Para obtener instrucciones, consulte Acceder a un AWS servicio mediante un VPC punto final de interfaz.

Si no ha habilitado un nombre de host del Sistema de nombres de dominio (DNS) privado para su VPC punto final, después de crear un VPC punto final, especifique el punto final de Internet URL para el servidor SageMaker API SageMaker Runtime. A continuación, se muestra un ejemplo de código que utiliza AWS CLI comandos para especificar el endpoint-url parámetro.

aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com  \
    --endpoint-name Endpoint_Name \
    --body "Endpoint_Body" \
    --content-type "Content_Type" \
            Output_File

Si habilita DNS los nombres de host privados para su VPC punto final, no necesita especificar el punto final, URL ya que es el nombre de host predeterminado (https://api.sagemaker).Region.amazon.com) se dirige a tu punto de conexión. VPC Del mismo modo, el DNS nombre de host predeterminado SageMaker de Runtime (https://runtime.sagemaker).Region.amazonaws.com) también se resuelve en tu punto final. VPC

Tanto Amazon como SageMaker Runtime admiten VPC puntos finales en todos los Regiones de AWS lugares donde Amazon VPC y SageMakerAres estén disponibles. SageMaker API SageMaker admite hacer llamadas a todo lo que está Operationsdentro de tu. VPC Si usa el AuthorizedUrl desde el 
 CreatePresignedNotebookInstanceUrlcomando, su tráfico pasará por la red pública de Internet. No solo puedes usar un VPC punto final para acceder a lo prefirmadoURL, sino que la solicitud debe pasar por la puerta de enlace de Internet.

De forma predeterminada, los usuarios pueden compartir la información prefirmada URL con personas ajenas a la red corporativa. Para mayor seguridad, debe agregar IAM permisos para restringir los que URL solo se pueden usar dentro de su red. Para obtener información sobre IAM los permisos, consulte Cómo AWS PrivateLink funciona con IAM.

nota

Al configurar un punto final VPC de interfaz para el servicio SageMaker Runtime (https://runtime.sagemaker). Region.amazonaws.com), debe asegurarse de que el punto final de la VPC interfaz esté activado en la zona de disponibilidad de su cliente para que la DNS resolución privada funcione. De lo contrario, es posible que se DNS produzcan errores al intentar resolver el. URL

Para obtener más información AWS PrivateLink, consulte la AWS PrivateLink documentación. Consulte los AWS PrivateLink precios para conocer el precio de los VPC terminales. Para obtener más información sobre VPC los puntos finales, consulta Amazon VPC. Para obtener información sobre cómo utilizar las AWS Identity and Access Management políticas basadas en la identidad para restringir el acceso a SageMaker Runtime SageMaker API y a Runtime, consulte. Controle el acceso a ella SageMaker API mediante políticas basadas en la identidad

Utilice la SageMaker formación y el alojamiento con recursos incluidos en su VPC

SageMaker utiliza su función de ejecución para descargar y cargar información de un bucket de Amazon S3 y Amazon Elastic Container Registry (AmazonECR), de forma aislada de su contenedor de entrenamiento o inferencia. Si tiene recursos que se encuentran dentro del suyoVPC, aún puede conceder SageMaker acceso a esos recursos. En las siguientes secciones se explica cómo hacer que sus recursos estén disponibles SageMaker con o sin aislamiento de red.

Sin aislamiento de redes habilitado

Si no ha establecido el aislamiento de la red en su trabajo o modelo de formación, SageMaker puede acceder a los recursos mediante uno de los siguientes métodos.

  • SageMaker Los contenedores de inferencia de formación e implementados pueden acceder a Internet de forma predeterminada. SageMaker los contenedores pueden acceder a servicios y recursos externos en la Internet pública como parte de sus cargas de trabajo de formación e inferencia. SageMaker los contenedores no pueden acceder a los recursos internos VPC sin una VPC configuración, como se muestra en la siguiente ilustración.

    SageMaker no pueden acceder a los recursos internos VPC sin una VPC configuración.

  • Utilice una VPC configuración para comunicarse con los recursos internos a VPC través de una interface de red elástica (ENI). La comunicación entre el contenedor y los recursos de su VPC red VPC se lleva a cabo de forma segura, como se muestra en la siguiente ilustración. En este caso, usted administra el acceso de red a sus VPC recursos e Internet.

    SageMaker puede acceder a los recursos internos y comunicarse VPC con ellos mediante una VPC configuración.

Con aislamiento de redes

Si utilizas el aislamiento de red, el SageMaker contenedor no podrá comunicarse con los recursos internos VPC ni realizar llamadas de red, como se muestra en la siguiente ilustración. Si proporciona una VPC configuración, las operaciones de descarga y carga se ejecutarán a través de la suyaVPC. Para obtener más información sobre el alojamiento y el entrenamiento con aislamiento de red mientras se usa unVPC, consulteAislamiento de red.

SageMaker puede acceder a los recursos internos y comunicarse VPC con ellos mediante una VPC configuración.

Puedes crear una política para los VPC puntos de enlace de Amazon SageMaker para especificar lo siguiente:

  • La entidad principal que puede realizar acciones.

  • Las acciones que se pueden realizar.

  • Los recursos en los que se pueden llevar a cabo las acciones.

Para obtener más información, consulte Control del acceso a los servicios con VPC puntos de enlace en la Guía del VPC usuario de Amazon.

nota

VPCLas políticas de puntos finales no son compatibles con los puntos finales de SageMaker ejecución de la Norma Federal de Procesamiento de Información (FIPS) para runtime_InvokeEndpoint.

El siguiente ejemplo de política de VPC puntos finales especifica que todos los usuarios que tienen acceso al punto final de la VPC interfaz pueden invocar el punto final SageMaker hospedado denominado. myEndpoint

{
  "Statement": [
      {
          "Action": "sagemaker:InvokeEndpoint",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
          "Principal": "*"
      }
  ]
}

En este ejemplo, los siguientes se deniegan:

  • Otras SageMaker API acciones, como sagemaker:CreateEndpoint y. sagemaker:CreateTrainingJob

  • Invocar puntos de enlace SageMaker alojados distintos de. myEndpoint

nota

En este ejemplo, los usuarios aún pueden realizar otras SageMaker API acciones desde fuera del. VPC Para obtener información sobre cómo restringir API las llamadas a personas que se encuentren dentro delVPC, consulteControle el acceso a ella SageMaker API mediante políticas basadas en la identidad.

Para crear un VPC punto de conexión para Amazon SageMaker Feature Store, utiliza la siguiente plantilla de punto de conexión, sustituyendo tu VPC_Endpoint_ID.api y Region:

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

Para llamar a SageMaker API and SageMaker Runtime a través de suVPC, debe conectarse desde una instancia que se encuentre dentro de la red privada VPC o conectar su red privada a la suya VPC mediante un AWS Virtual Private Network (AWS VPN) o AWS Direct Connect. Para obtener más información AWS VPN, consulte VPNConexiones en la Guía del usuario de Amazon Virtual Private Cloud. Para obtener más información AWS Direct Connect, consulte Creación de una conexión en la Guía del usuario de AWS Direct Connect.