Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejecución de contenedores de entrenamiento e inferencia en modo con acceso a Internet
SageMaker Los contenedores de inferencia de entrenamiento e implementados están habilitados para Internet de forma predeterminada. Esto permite a los contenedores acceder a servicios externos y recursos en la red de Internet pública como parte de sus cargas de trabajo de capacitación e inferencia. Sin embargo, esto podría proporcionar una vía de acceso no autorizado a los datos. Por ejemplo, un código o usuario maliciosos que instale accidentalmente en el contenedor (en forma de biblioteca de código fuente a disposición del público en general) podría acceder a sus datos y transferirlos a un host remoto.
Si utilizas Amazon VPC especificando un valor para el VpcConfig
parámetro cuando llamas CreateTrainingJob
CreateHyperParameterTuningJob
CreateModel
, o puedes proteger tus datos y recursos gestionando grupos de seguridad y restringiendo tu acceso a InternetVPC. Sin embargo, esto se hace a expensas de una configuración de red adicional y conlleva el riesgo de que la red se configure de forma incorrecta. Si no desea proporcionar acceso SageMaker a una red externa a sus contenedores de formación o inferencia, puede habilitar el aislamiento de la red.
Aislamiento de red
Puede habilitar el aislamiento de redes al crear su trabajo o modelo de entrenamiento si configura el valor del parámetro EnableNetworkIsolation
en True
cuando llame a CreateTrainingJob
, CreateHyperParameterTuningJob
o CreateModel
.
nota
El aislamiento de redes es necesario para modelos y trabajos de entrenamiento que se ejecutan usando recursos de AWS Marketplace. Para mayor seguridad, AWS Marketplace las imágenes se publican en AmazonVPC. Solo tienen acceso a los datos de sus sistemas de archivos locales.
Si habilitas el aislamiento de la red, los contenedores no podrán realizar llamadas de red salientes, ni siquiera a otros AWS servicios, como Amazon S3. Además, no hay AWS credenciales disponibles para el entorno de ejecución del contenedor. En el caso de un trabajo de formación con varias instancias, el tráfico entrante y saliente de la red se limita a los pares de cada contenedor de entrenamiento. SageMaker sigue realizando operaciones de descarga y carga en Amazon S3 utilizando su función de SageMaker ejecución de forma aislada del contenedor de entrenamiento o inferencia.
Los siguientes SageMaker contenedores gestionados no admiten el aislamiento de la red porque requieren acceso a Amazon S3:
-
Chainer
-
SageMaker Aprendizaje reforzado
Aislamiento de redes con un VPC
El aislamiento de red se puede utilizar junto con unVPC. En este escenario, la descarga y carga de los datos de los clientes y los artefactos del modelo se enrutan a través de su VPC subred. Sin embargo, los contenedores de formación e inferencia en sí mismos siguen aislados de la red y no tienen acceso a ningún recurso interno VPC o de Internet.