Mengonfigurasi Job Transform Batch untuk Amazon VPC Access Konfigurasikan Pribadi Anda VPC untuk Transformasi SageMaker Batch

Berikan Akses Pekerjaan Transformasi Batch ke Sumber Daya di Amazon Anda VPC

Untuk mengontrol akses ke data dan pekerjaan transformasi batch, kami sarankan Anda membuat Amazon pribadi VPC dan mengonfigurasinya sehingga pekerjaan Anda tidak dapat diakses melalui internet publik. Anda menentukan VPC konfigurasi pribadi saat membuat model dengan menentukan subnet dan grup keamanan. Anda kemudian menentukan model yang sama ketika Anda membuat pekerjaan transformasi batch. Saat Anda menentukan subnet dan grup keamanan, SageMaker buat antarmuka jaringan elastis yang terkait dengan grup keamanan Anda di salah satu subnet. Antarmuka jaringan memungkinkan wadah model Anda terhubung ke sumber daya di AndaVPC. Untuk informasi tentang antarmuka jaringan, lihat Antarmuka Jaringan Elastis di VPCPanduan Pengguna Amazon.

Dokumen ini menjelaskan cara menambahkan VPC konfigurasi Amazon untuk pekerjaan transformasi batch.

Mengonfigurasi Job Transform Batch untuk Amazon VPC Access

Untuk menentukan subnet dan grup keamanan di pribadi AndaVPC, gunakan parameter VpcConfig permintaan CreateModelAPI, atau berikan informasi ini saat Anda membuat model di SageMaker konsol. Kemudian tentukan model yang sama di parameter ModelName permintaan CreateTransformJobAPI, atau di bidang Nama model saat Anda membuat pekerjaan transformasi di SageMaker konsol. SageMaker menggunakan informasi ini untuk membuat antarmuka jaringan dan melampirkannya ke wadah model Anda. Antarmuka jaringan menyediakan wadah model Anda dengan koneksi jaringan di dalam Anda VPC yang tidak terhubung ke internet. Mereka juga memungkinkan pekerjaan transformasi Anda untuk terhubung ke sumber daya di pribadi AndaVPC.

Berikut ini adalah contoh VpcConfig parameter yang Anda sertakan dalam panggilan Anda keCreateModel:


VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

Jika Anda membuat model menggunakan CreateModel API operasi, peran IAM eksekusi yang Anda gunakan untuk membuat model Anda harus menyertakan izin yang dijelaskanCreateModel API: Izin Peran Eksekusi, termasuk izin berikut yang diperlukan untuk pribadi. VPC

Saat membuat model di konsol, jika Anda memilih Buat peran baru di bagian Pengaturan Model, AmazonSageMakerFullAccess kebijakan yang digunakan untuk membuat peran sudah berisi izin ini. Jika Anda memilih Masukkan IAM peran khusus ARN atau Gunakan peran yang ada, peran ARN yang Anda tentukan harus memiliki kebijakan eksekusi yang dilampirkan dengan izin berikut.


{
            "Effect": "Allow",
            "Action": [
            "ec2:CreateNetworkInterface",
            "ec2:CreateNetworkInterfacePermission",
            "ec2:DeleteNetworkInterface",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeVpcs",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeSubnets",
            "ec2:DescribeSecurityGroups"

Konfigurasikan Pribadi Anda VPC untuk Transformasi SageMaker Batch

Saat mengonfigurasi privat VPC untuk pekerjaan transformasi SageMaker batch Anda, gunakan panduan berikut. Untuk informasi tentang pengaturanVPC, lihat Bekerja dengan VPCs dan Subnet di Panduan VPC Pengguna Amazon.

Topik

Pastikan Subnet Memiliki Alamat IP yang Cukup
Buat Endpoint Amazon S3 VPC
Gunakan Kebijakan Endpoint Kustom untuk Membatasi Akses ke S3
Konfigurasikan Tabel Rute
Konfigurasikan Grup VPC Keamanan
Connect ke Sumber Daya di Luar Anda VPC

Pastikan Subnet Memiliki Alamat IP yang Cukup

VPCSubnet Anda harus memiliki setidaknya dua alamat IP pribadi untuk setiap instance dalam pekerjaan transformasi. Untuk informasi selengkapnya, lihat VPCdan Ukuran Subnet untuk IPv4 di VPCPanduan Pengguna Amazon.

Buat Endpoint Amazon S3 VPC

Jika Anda mengonfigurasi VPC sehingga wadah model tidak memiliki akses ke internet, mereka tidak dapat terhubung ke bucket Amazon S3 yang berisi data Anda kecuali Anda membuat VPC titik akhir yang memungkinkan akses. Dengan membuat VPC titik akhir, Anda mengizinkan wadah model Anda mengakses bucket tempat Anda menyimpan data dan artefak model. Kami menyarankan Anda juga membuat kebijakan khusus yang hanya mengizinkan permintaan dari pribadi Anda VPC untuk mengakses bucket S3 Anda. Untuk informasi selengkapnya, lihat Titik Akhir untuk Amazon S3.

Untuk membuat titik VPC akhir S3:

Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.
Di panel navigasi, pilih Endpoints, lalu pilih Create Endpoint
Untuk Nama Layanan, pilih com.amazonaws.region.s3, dimana region adalah nama wilayah tempat Anda VPC tinggal.
Untuk VPC, pilih yang ingin VPC Anda gunakan untuk titik akhir ini.
Untuk Konfigurasi tabel rute, pilih tabel rute yang akan digunakan oleh titik akhir. VPCLayanan secara otomatis menambahkan rute ke setiap tabel rute yang Anda pilih yang mengarahkan lalu lintas S3 ke titik akhir baru.
Untuk Kebijakan, pilih Akses Penuh untuk mengizinkan akses penuh ke layanan S3 oleh pengguna atau layanan mana pun di VPC dalam. Pilih Custom untuk membatasi akses lebih lanjut. Untuk informasi, lihat Gunakan Kebijakan Endpoint Kustom untuk Membatasi Akses ke S3.

Gunakan Kebijakan Endpoint Kustom untuk Membatasi Akses ke S3

Kebijakan endpoint default memungkinkan akses penuh ke S3 untuk setiap pengguna atau layanan di Anda. VPC Untuk lebih membatasi akses ke S3, buat kebijakan titik akhir kustom. Untuk informasi selengkapnya, lihat Menggunakan Kebijakan Titik Akhir untuk Amazon S3. Anda juga dapat menggunakan kebijakan bucket untuk membatasi akses ke bucket S3 hanya untuk lalu lintas yang berasal dari Amazon Anda. VPC Untuk selengkapnya, lihat Menggunakan Kebijakan Bucket Amazon S3.

Batasi Instalasi Package pada Model Container

Kebijakan endpoint default memungkinkan pengguna untuk menginstal paket dari repositori Amazon Linux dan Amazon Linux 2 pada wadah pelatihan. Jika Anda tidak ingin pengguna menginstal paket dari repositori itu, buat kebijakan endpoint khusus yang secara eksplisit menolak akses ke repositori Amazon Linux dan Amazon Linux 2. Berikut ini adalah contoh kebijakan yang menolak akses ke repositori ini:


{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

Konfigurasikan Tabel Rute

Gunakan DNS setelan default untuk tabel rute titik akhir Anda, sehingga Amazon URLs S3 standar (misalnyahttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket,) diselesaikan. Jika Anda tidak menggunakan DNS pengaturan default, pastikan URLs bahwa yang Anda gunakan untuk menentukan lokasi data dalam pekerjaan transformasi batch Anda diselesaikan dengan mengonfigurasi tabel rute titik akhir. Untuk informasi tentang tabel rute VPC titik akhir, lihat Perutean untuk Titik Akhir Gateway di Panduan Pengguna Amazon VPC.

Konfigurasikan Grup VPC Keamanan

Dalam transformasi batch terdistribusi, Anda harus mengizinkan komunikasi antara kontainer yang berbeda dalam pekerjaan transformasi batch yang sama. Untuk melakukan itu, konfigurasikan aturan untuk grup keamanan Anda yang memungkinkan koneksi masuk dan keluar antara anggota grup keamanan yang sama. Anggota kelompok keamanan yang sama harus dapat berkomunikasi satu sama lain di semua port. Untuk informasi selengkapnya, lihat Aturan Grup Keamanan.

Connect ke Sumber Daya di Luar Anda VPC

Jika Anda mengonfigurasi VPC sehingga tidak memiliki akses internet, mengubah pekerjaan batch yang digunakan yang VPC tidak memiliki akses ke sumber daya di luar AndaVPC. Jika pekerjaan transformasi batch Anda membutuhkan akses ke sumber daya di luar AndaVPC, berikan akses dengan salah satu opsi berikut:

Jika pekerjaan transformasi batch Anda memerlukan akses ke AWS layanan yang mendukung VPC titik akhir antarmuka, buat titik akhir untuk terhubung ke layanan tersebut. Untuk daftar layanan yang mendukung titik akhir antarmuka, lihat VPCTitik akhir di VPCPanduan Pengguna Amazon. Untuk informasi tentang membuat VPC titik akhir antarmuka, lihat VPCTitik Akhir Antarmuka (AWS PrivateLink) di VPCPanduan Pengguna Amazon.
Jika pekerjaan transformasi batch Anda memerlukan akses ke AWS layanan yang tidak mendukung VPC titik akhir antarmuka atau sumber daya di luar AWS, buat NAT gateway dan konfigurasikan grup keamanan Anda untuk mengizinkan koneksi keluar. Untuk informasi tentang menyiapkan NAT gateway untuk AndaVPC, lihat Skenario 2: VPC dengan Subnet Publik dan Pribadi (NAT) di Panduan Pengguna Amazon Virtual Private Cloud.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Berikan Akses Endpoint yang SageMaker Dihosting ke Sumber Daya di Amazon Anda VPC

Berikan Amazon SageMaker Clarify Lowongan Akses ke Sumber Daya di Amazon Anda VPC