Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Donnez aux tâches de compilation SageMaker AI un accès aux ressources de votre Amazon VPC

PDF
RSS
Mode de mise au point
Donnez aux tâches de compilation SageMaker AI un accès aux ressources de votre Amazon VPC - Amazon SageMaker AI
Configuration d'une tâche de compilation pour l'accès à Amazon VPCConfigurez votre VPC privé pour SageMaker la compilation AI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Note

Pour les tâches de compilation, vous pouvez uniquement configurer des sous-réseaux avec un VPC de location par défaut dans lequel votre tâche s'exécute sur un matériel partagé. Pour plus d'informations sur l'attribut de location pour VPCs, consultez Instances dédiées.

Configuration d'une tâche de compilation pour l'accès à Amazon VPC

Pour spécifier des sous-réseaux et des groupes de sécurité dans votre VPC privé, utilisez VpcConfig le paramètre de requête de CreateCompilationJobl'API ou fournissez ces informations lorsque vous créez une tâche de compilation dans SageMaker la console AI. SageMaker AI Neo utilise ces informations pour créer des interfaces réseau et les associer à vos tâches de compilation. Les interfaces réseau fournissent à vos tâches de compilation une connexion réseau au sein de votre VPC qui n'est pas connecté à Internet. Elles permettent également à votre tâche de compilation de se connecter aux ressources de votre VPC privé. Voici un exemple du paramètre VpcConfig que vous incluez dans votre appel à CreateCompilationJob :

VpcConfig: {"Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

Configurez votre VPC privé pour SageMaker la compilation AI

Lorsque vous configurez le VPC privé pour vos tâches de compilation SageMaker AI, suivez les directives suivantes. Pour plus d'informations sur la configuration d'un VPC, consultez la section Utilisation des sous-réseaux VPCs et des sous-réseaux dans le guide de l'utilisateur Amazon VPC.

S'assurer que les sous-réseaux ont suffisamment d'adresses IP

Vos sous-réseaux VPC doivent avoir au moins deux adresses IP privées pour chaque instance dans une tâche de compilation. Pour plus d'informations, consultez la section relative au dimensionnement des VPC et des sous-réseaux dans le guide de l' IPv4utilisateur Amazon VPC.

Création d’un point de terminaison d’un VPC Amazon S3

Si vous configurez votre VPC pour bloquer l'accès à Internet, SageMaker Neo ne peut pas se connecter aux compartiments Amazon S3 contenant vos modèles, sauf si vous créez un point de terminaison VPC autorisant l'accès. En créant un point de terminaison VPC, vous autorisez vos tâches de compilation SageMaker Neo à accéder aux compartiments dans lesquels vous stockez vos données et vos artefacts de modèle. Nous vous recommandons de créer également une politique personnalisée autorisant uniquement les demandes d'accès à vos compartiments S3 provenant de votre VPC privé. Pour plus d'informations, veuillez consulter Points de terminaison pour Amazon S3.

Création d'un point de terminaison de VPC S3

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Endpoints (Points de terminaison), puis Create Endpoint (Créer un point de terminaison).

  3. Pour le nom du service, recherchez com.amazonaws. region.s3, où region est le nom de la région où réside votre VPC.

  4. Choisissez le type Passerelle.

  5. Pour VPC, choisissez le VPC que vous voulez utiliser pour ce point de terminaison.

  6. Pour Configure route tables (Configurer les tables de routage), sélectionnez les tables de routage à utiliser par le point de terminaison. Le service de VPC ajoute automatiquement un routage à chaque table de routage que vous sélectionnez et qui dirige le trafic S3 vers le nouveau point de terminaison.

  7. Pour Policy (Politique), choisissez Full Access (Accès total) pour autoriser un accès total au service S3 par n'importe quel utilisateur ou service au sein du VPC. Choisissez Personnalisé pour restreindre l’accès davantage. Pour plus d’informations, veuillez consulter Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3.

Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3

Par défaut, la politique de point de terminaison autorise un accès total à S3 pour n'importe quel utilisateur ou service au sein de votre VPC. Pour limiter l'accès à S3, créez une politique de point de terminaison personnalisé. Pour de plus amples informations, veuillez consulter Utilisation des politiques de point de terminaison pour Amazon S3. Vous pouvez également utiliser une politique de compartiment pour restreindre l'accès à vos compartiments S3 uniquement au trafic issu de votre Amazon VPC. Pour obtenir des informations, veuillez consulter Utilisation de politiques de compartiment Amazon S3. Voici un exemple de politique personnalisée :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::your-sample-bucket",
                "arn:aws:s3:::your-sample-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "aws:SourceVpce": [
                        "vpce-01234567890123456"
                    ]
                }
            }
        }
    ]
}

Ajouter des autorisations pour la tâche de compilation en cours d'exécution dans un VPC Amazon à des politiques IAM personnalisées

La politique gérée SageMakerFullAccess inclut les autorisations dont vous avez besoin pour utiliser des modèles configurés pour l'accès à l'Amazon VPC avec un point de terminaison. Ces autorisations permettent à SageMaker Neo de créer une interface réseau élastique et de l'associer à une tâche de compilation exécutée dans un Amazon VPC. Si vous utilisez votre propre politique IAM, vous devez ajouter les autorisations suivantes à cette politique pour utiliser les modèles configurés pour l'accès à Amazon VPC.

{"Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}

Pour plus d'informations sur la politique gérée SageMakerFullAccess, consultez AWS politique gérée : AmazonSageMakerFullAccess.

Configuration des tables de routage

Utilisez les paramètres DNS par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemplehttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) soit résolu. Si vous n'utilisez pas les paramètres DNS par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos tâches de compilation sont résolus en configurant les tables de routage des points de terminaison. Pour obtenir des informations sur les tables de routage de point de terminaison d'un VPC, veuillez consulter Routage des points de terminaison de passerelle dans le Guide de l'utilisateur Amazon VPC.

Configurer le groupe de sécurité VPC

Dans votre groupe de sécurité pour la tâche de compilation, vous devez autoriser la communication sortante vers vos points de terminaison d'un VPC Amazon S3 et les plages CIDR de sous-réseau utilisées pour la tâche de compilation. Pour obtenir des informations, veuillez consulter Règles des groupes de sécurité et Contrôler l'accès aux services avec les points de terminaison Amazon VPC.

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.