Exécution des conteneurs d'entraînement et d'inférence sans accès Internet

SageMaker les conteneurs d'inférence déployés et de formation sont compatibles avec Internet par défaut. Ils peuvent ainsi accéder aux services et ressources externes sur l'Internet public dans le cadre de vos charges de travail d'entraînement et d'inférence. Cependant, une voie peut ainsi être ouverte pour l'accès non autorisé à vos données. Par exemple, un utilisateur ou un code malveillant que vous installez accidentellement sur le conteneur (sous la forme d'une bibliothèque de code source accessible au public) peut accéder à vos données et les transférer à un hôte distant.

Si vous utilisez un Amazon VPC en spécifiant une valeur pour le VpcConfig paramètre lorsque vous appelez CreateTrainingJob, ou CreateHyperParameterTuningJobCreateModel, vous pouvez protéger vos données et vos ressources en gérant les groupes de sécurité et en restreignant l'accès à Internet depuis votreVPC. Cependant, c'est au prix d'une configuration réseau supplémentaire et d'un risque de configuration incorrecte de votre réseau. Si vous ne souhaitez pas fournir SageMaker d'accès réseau externe à vos conteneurs de formation ou d'inférence, vous pouvez activer l'isolation du réseau.

Isolement du réseau

Vous pouvez activer l'isolement de réseau lorsque vous créez votre tâche ou votre modèle d'entraînement en définissant la valeur du paramètre EnableNetworkIsolation sur True lorsque vous appelez CreateTrainingJob, CreateHyperParameterTuningJob, ou CreateModel.

Note

L'isolation du réseau est nécessaire pour exécuter des tâches et des modèles de formation à l'aide de ressources provenant de AWS Marketplace. Pour plus de sécurité, AWS Marketplace les images s'exécutent dans un AmazonVPC. Ils ont uniquement accès aux données de leurs systèmes de fichiers locaux.

Si vous activez l'isolation du réseau, les conteneurs ne peuvent pas effectuer d'appels réseau sortants, même vers d'autres AWS des services tels qu'Amazon S3. De plus, non AWS les informations d'identification sont mises à la disposition de l'environnement d'exécution du conteneur. Dans le cas d'une tâche de formation comportant plusieurs instances, le trafic réseau entrant et sortant est limité aux pairs de chaque conteneur de formation. SageMaker effectue toujours des opérations de téléchargement et de chargement sur Amazon S3 en utilisant votre rôle SageMaker d'exécution indépendamment du conteneur d'entraînement ou d'inférence.

Les SageMaker conteneurs gérés suivants ne prennent pas en charge l'isolation du réseau car ils nécessitent un accès à Amazon S3 :

Chainer
SageMaker L'apprentissage par renforcement

Isolation du réseau à l'aide d'un VPC

L'isolation du réseau peut être utilisée conjointement avec unVPC. Dans ce scénario, le téléchargement et le chargement des données client et des artefacts du modèle sont acheminés via votre VPC sous-réseau. Cependant, les conteneurs de formation et d'inférence eux-mêmes continuent d'être isolés du réseau et n'ont accès à aucune ressource en votre sein VPC ou sur Internet.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Connecter une instance de bloc-notes dans un VPC à des ressources externes

Connectez-vous à SageMaker Within your VPC