Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Berikan Akses Titik Akhir yang Dihosting SageMaker AI ke Sumber Daya di VPC Amazon Anda
## Konfigurasikan Model untuk Akses VPC Amazon
Untuk menentukan subnet dan grup keamanan di VPC pribadi Anda, gunakan `VpcConfig` parameter permintaan API, atau berikan informasi ini saat Anda membuat model di konsol AI SageMaker . [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html) SageMaker AI menggunakan informasi ini untuk membuat antarmuka jaringan dan melampirkannya ke wadah model Anda. Antarmuka jaringan menyediakan wadah model Anda dengan koneksi jaringan dalam VPC Anda yang tidak terhubung ke internet. Mereka juga memungkinkan model Anda terhubung ke sumber daya di VPC pribadi Anda.
**catatan**
Anda harus membuat setidaknya dua subnet di zona ketersediaan yang berbeda di VPC pribadi Anda, bahkan jika Anda hanya memiliki satu instance hosting.
Berikut ini adalah contoh `VpcConfig` parameter yang Anda sertakan dalam panggilan Anda ke`CreateModel`:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Konfigurasikan VPC Pribadi Anda untuk Hosting AI SageMaker
Saat mengonfigurasi VPC pribadi untuk model AI SageMaker Anda, gunakan panduan berikut. Untuk informasi tentang cara menyiapkan VPC, lihat [Bekerja dengan VPCs dan Subnet](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) di Panduan Pengguna Amazon *VPC*.
**Topics**
+ [Pastikan Subnet Memiliki Alamat IP yang Cukup](#host-vpc-ip)
+ [Buat Endpoint VPC Amazon S3](#host-vpc-s3)
+ [Menggunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke Amazon S3](#host-vpc-policy)
+ [Tambahkan Izin untuk Akses Titik Akhir untuk Kontainer yang Berjalan di VPC ke Kebijakan IAM Kustom](#host-vpc-endpoints)
+ [Konfigurasikan Tabel Rute](#host-vpc-route-table)
+ [Connect ke Sumber Daya di Luar VPC Anda](#model-vpc-nat)
### Pastikan Subnet Memiliki Alamat IP yang Cukup
Instans pelatihan yang tidak menggunakan Elastic Fabric Adapter (EFA) harus memiliki setidaknya 2 alamat IP pribadi. Contoh pelatihan yang menggunakan EFA harus memiliki setidaknya 5 alamat IP pribadi. Untuk informasi selengkapnya, lihat [Beberapa alamat IP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html) di Panduan Pengguna Amazon EC2.
### Buat Endpoint VPC Amazon S3
Jika Anda mengonfigurasi VPC Anda sehingga wadah model tidak memiliki akses ke internet, mereka tidak dapat terhubung ke bucket Amazon S3 yang berisi data Anda kecuali Anda membuat titik akhir VPC yang memungkinkan akses. Dengan membuat titik akhir VPC, Anda mengizinkan wadah model Anda mengakses bucket tempat Anda menyimpan data dan artefak model. Kami menyarankan Anda juga membuat kebijakan khusus yang hanya mengizinkan permintaan dari VPC pribadi Anda untuk mengakses bucket S3 Anda. Untuk informasi selengkapnya, lihat [Titik Akhir untuk Amazon](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html) S3.
**Untuk membuat titik akhir VPC Amazon S3:**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. **Di panel navigasi, pilih **Endpoints, lalu pilih Create Endpoint****
1. Untuk **Nama Layanan**, pilih **com.amazonaws. *region*.s3**, di *region* mana nama AWS Wilayah tempat VPC Anda berada.
1. Untuk **VPC**, pilih VPC yang ingin Anda gunakan untuk titik akhir ini.
1. Untuk **Konfigurasi tabel rute**, pilih tabel rute untuk titik akhir yang akan digunakan. Layanan VPC secara otomatis menambahkan rute ke setiap tabel rute yang Anda pilih yang mengarahkan lalu lintas Amazon S3 ke titik akhir baru.
1. Untuk **Kebijakan**, pilih **Akses Penuh** untuk mengizinkan akses penuh ke layanan Amazon S3 oleh pengguna atau layanan apa pun dalam VPC. Untuk membatasi akses lebih lanjut, pilih **Kustom**. Untuk informasi selengkapnya, lihat [Menggunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke Amazon S3](#host-vpc-policy).
### Menggunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke Amazon S3
Kebijakan endpoint default memungkinkan akses penuh ke Amazon Simple Storage Service (Amazon S3) untuk pengguna atau layanan apa pun di VPC Anda. Untuk lebih membatasi akses ke Amazon S3, buat kebijakan titik akhir kustom. Untuk informasi selengkapnya, lihat [Menggunakan Kebijakan Titik Akhir untuk Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) S3.
Anda juga dapat menggunakan kebijakan bucket untuk membatasi akses ke bucket S3 hanya untuk lalu lintas yang berasal dari VPC Amazon Anda. Untuk selengkapnya, lihat [Menggunakan Kebijakan Bucket Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Batasi Instalasi Package pada Container Model dengan Kebijakan Endpoint Kustom
Kebijakan endpoint default memungkinkan pengguna untuk menginstal paket dari repositori Amazon Linux dan Amazon Linux 2 pada wadah model. Jika Anda tidak ingin pengguna menginstal paket dari repositori tersebut, buat kebijakan endpoint khusus yang secara eksplisit menolak akses ke repositori Amazon Linux dan Amazon Linux 2. Berikut ini adalah contoh kebijakan yang menolak akses ke repositori ini:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Tambahkan Izin untuk Akses Titik Akhir untuk Kontainer yang Berjalan di VPC ke Kebijakan IAM Kustom
Kebijakan `SageMakerFullAccess` terkelola mencakup izin yang Anda perlukan untuk menggunakan model yang dikonfigurasi untuk akses VPC Amazon dengan titik akhir. Izin ini memungkinkan SageMaker AI untuk membuat elastic network interface dan melampirkannya ke wadah model yang berjalan di VPC. Jika Anda menggunakan kebijakan IAM Anda sendiri, Anda harus menambahkan izin berikut ke kebijakan tersebut untuk menggunakan model yang dikonfigurasi untuk akses VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface"
],
"Resource": "*"
}
]
}
```
------
Untuk informasi selengkapnya tentang kebijakan `SageMakerFullAccess` terkelola, lihat[AWS kebijakan terkelola: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
### Konfigurasikan Tabel Rute
Gunakan pengaturan DNS default untuk tabel rute titik akhir Anda, sehingga Amazon URLs S3 standar (misalnya`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`,) diselesaikan. Jika Anda tidak menggunakan pengaturan DNS default, pastikan URLs bahwa yang Anda gunakan untuk menentukan lokasi data dalam model Anda diselesaikan dengan mengonfigurasi tabel rute titik akhir. Untuk informasi tentang tabel rute titik akhir VPC, lihat [Perutean untuk Titik Akhir Gateway di Panduan Pengguna](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) *Amazon* VPC.
### Connect ke Sumber Daya di Luar VPC Anda
Jika Anda mengonfigurasi VPC Anda sehingga tidak memiliki akses internet, model yang menggunakan VPC tersebut tidak memiliki akses ke sumber daya di luar VPC Anda. Jika model Anda membutuhkan akses ke sumber daya di luar VPC Anda, berikan akses dengan salah satu opsi berikut:
+ Jika model Anda memerlukan akses ke AWS layanan yang mendukung titik akhir VPC antarmuka, buat titik akhir untuk terhubung ke layanan tersebut. Untuk daftar layanan yang mendukung titik akhir antarmuka, lihat Titik Akhir [VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) di Panduan Pengguna *Amazon VPC*. *Untuk informasi tentang membuat titik akhir VPC antarmuka, lihat Titik Akhir [VPC Antarmuka () di AWS PrivateLink Panduan Pengguna VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) Amazon.*
+ Jika model Anda memerlukan akses ke AWS layanan yang tidak mendukung titik akhir VPC antarmuka atau sumber daya di luar AWS, buat gateway NAT dan konfigurasikan grup keamanan Anda untuk mengizinkan koneksi keluar. Untuk informasi tentang menyiapkan gateway NAT untuk VPC Anda, [lihat Skenario 2: VPC dengan Subnet Publik dan Pribadi (NAT) di](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) Panduan Pengguna Amazon Virtual Private *Cloud*.