Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Donnez à Inference Recommender Jobs l'accès aux ressources de votre Amazon VPC
Note
Inference Recommender vous demande d'enregistrer votre modèle auprès de Model Registry. Notez que le Model Registry n'autorise pas la VPC restriction des artefacts de votre modèle ou de votre ECR image Amazon.
Inference Recommender exige également que votre exemple de charge utile d'objet Amazon S3 ne soit pas restreint. VPC Pour les tâches de recommandation d'inférence, vous ne pouvez pas créer de politique personnalisée autorisant uniquement les demandes provenant de votre compte privé VPC à accéder à vos compartiments Amazon S3.
Pour spécifier des sous-réseaux et des groupes de sécurité dans votre environnement privéVPC, utilisez le paramètre de RecommendationJobVpcConfig requête du CreateInferenceRecommendationsJobAPI, ou spécifiez vos sous-réseaux et groupes de sécurité lorsque vous créez une tâche de recommandation dans la SageMaker console.
Inference Recommender utilise ces informations pour créer des points de terminaison. Lors du provisionnement de points de terminaison, SageMaker crée des interfaces réseau et les attache à vos points de terminaison. Les interfaces réseau fournissent à vos terminaux une connexion réseau avec votreVPC. Voici un exemple du paramètre VpcConfig que vous incluez dans un appel à CreateInferenceRecommendationsJob :
VpcConfig: { "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] }
Consultez les rubriques suivantes pour plus d'informations sur la configuration de votre Amazon VPC pour une utilisation avec les tâches Inference Recommender.
Rubriques
- S'assurer que les sous-réseaux ont suffisamment d'adresses IP
- Création d'un point de VPC terminaison Amazon S3
- Ajoutez des autorisations pour les tâches Inference Recommender exécutées sur un Amazon VPC aux politiques personnalisées IAM
- Configuration des tables de routage
- Configuration du groupe VPC de sécurité
S'assurer que les sous-réseaux ont suffisamment d'adresses IP
Vos VPC sous-réseaux doivent avoir au moins deux adresses IP privées pour chaque instance dans une tâche de recommandation d'inférence. Pour plus d'informations sur les sous-réseaux et les adresses IP privées, consultez le guide de l'VPCutilisateur Amazon sur le VPC fonctionnement d'Amazon.
Création d'un point de VPC terminaison Amazon S3
Si vous configurez votre VPC appareil pour bloquer l'accès à Internet, Inference Recommender ne peut pas se connecter aux compartiments Amazon S3 contenant vos modèles, sauf si vous créez un VPC point de terminaison autorisant l'accès. En créant un VPC point de terminaison, vous autorisez vos tâches de recommandation d' SageMakerinférence à accéder aux compartiments dans lesquels vous stockez vos données et vos artefacts de modèle.
Pour créer un point de VPC terminaison Amazon S3, suivez la procédure suivante :
Ouvrez la VPCconsole Amazon
. Dans le volet de navigation, choisissez Endpoints (Points de terminaison), puis Create Endpoint (Créer un point de terminaison).
Dans Nom du service
com.amazonaws., recherchez oùregion.s3regionChoisissez le type Passerelle.
Pour VPC, choisissez celui que VPC vous souhaitez utiliser pour ce point de terminaison.
Pour Configurer les tables de routage, sélectionnez les tables de routage à utiliser par le point de terminaison. Le VPC service ajoute automatiquement un itinéraire à chaque table de routage que vous sélectionnez qui oriente tout trafic Amazon S3 vers le nouveau point de terminaison.
Pour Policy, choisissez Full Access pour permettre à n'importe quel utilisateur ou service au sein duVPC.
Ajoutez des autorisations pour les tâches Inference Recommender exécutées sur un Amazon VPC aux politiques personnalisées IAM
La politique
AmazonSageMakerFullAccess gérée inclut les autorisations dont vous avez besoin pour utiliser les modèles configurés pour Amazon VPC Access avec un point de terminaison. Ces autorisations permettent à Inference Recommender de créer une interface réseau élastique et de l'associer à la tâche de recommandation d'inférence exécutée sur un Amazon. VPC Si vous utilisez votre propre IAM politique, vous devez ajouter les autorisations suivantes à cette politique pour utiliser les modèles configurés pour l'VPCaccès à Amazon.
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "ec2:DescribeVpcEndpoints", "ec2:DescribeDhcpOptions", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "*" } ] }
Configuration des tables de routage
Utilisez les DNS paramètres par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemple :http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket
Configuration du groupe VPC de sécurité
Dans votre groupe de sécurité pour la tâche de recommandation d'inférence, vous devez autoriser les communications sortantes vers vos VPC points de terminaison Amazon S3 et les CIDR plages de sous-réseaux utilisées pour la tâche de recommandation d'inférence. Pour plus d'informations, consultez Règles des groupes de sécurité et contrôle de l'accès aux services avec des VPC points de terminaison Amazon dans le guide de VPC l'utilisateur Amazon.
