Berikan Akses Pekerjaan Inferensi Rekomendasi ke Sumber Daya di Amazon Anda VPC - Amazon SageMaker
Pastikan subnet memiliki alamat IP yang cukupBuat titik akhir Amazon S3 VPCMenambahkan izin untuk lowongan Inference Recommender yang berjalan di Amazon VPC ke kebijakan kustom IAMKonfigurasikan tabel ruteKonfigurasikan grup VPC keamanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Berikan Akses Pekerjaan Inferensi Rekomendasi ke Sumber Daya di Amazon Anda VPC

catatan

Inference Recommender mengharuskan Anda untuk mendaftarkan model Anda dengan Model Registry. Perhatikan bahwa Model Registry tidak mengizinkan artefak model atau ECR gambar Amazon Anda VPC dibatasi.

Inference Recommender juga memiliki persyaratan bahwa objek Amazon S3 muatan sampel Anda tidak dibatasi. VPC Untuk lowongan rekomendasi inferensi, Anda tidak dapat membuat kebijakan khusus yang hanya mengizinkan permintaan dari pribadi Anda VPC untuk mengakses bucket Amazon S3 Anda.

Untuk menentukan subnet dan grup keamanan di privat AndaVPC, gunakan parameter RecommendationJobVpcConfig permintaan CreateInferenceRecommendationsJobAPI, atau tentukan subnet dan grup keamanan Anda saat Anda membuat pekerjaan rekomendasi di SageMaker konsol.

Inference Recommender menggunakan informasi ini untuk membuat endpoint. Saat menyediakan titik akhir, SageMaker buat antarmuka jaringan dan lampirkan ke titik akhir Anda. Antarmuka jaringan menyediakan titik akhir Anda dengan koneksi jaringan ke Anda. VPC Berikut ini adalah contoh VpcConfig parameter yang Anda sertakan dalam panggilan keCreateInferenceRecommendationsJob:

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }

Lihat topik berikut untuk informasi selengkapnya tentang mengonfigurasi Amazon Anda VPC untuk digunakan dengan lowongan Inference Recommender.

Pastikan subnet memiliki alamat IP yang cukup

VPCSubnet Anda harus memiliki setidaknya dua alamat IP pribadi untuk setiap instance dalam pekerjaan rekomendasi inferensi. Untuk informasi selengkapnya tentang subnet dan alamat IP pribadi, lihat Cara Amazon VPC bekerja di Panduan VPC Pengguna Amazon.

Buat titik akhir Amazon S3 VPC

Jika Anda mengonfigurasi VPC untuk memblokir akses ke internet, Inference Recommender tidak dapat terhubung ke bucket Amazon S3 yang berisi model Anda kecuali Anda membuat titik akhir VPC yang memungkinkan akses. Dengan membuat VPC titik akhir, Anda mengizinkan pekerjaan rekomendasi SageMaker inferensi Anda untuk mengakses bucket tempat Anda menyimpan data dan artefak model.

Untuk membuat VPC endpoint Amazon S3, gunakan prosedur berikut:

  1. Buka VPCkonsol Amazon.

  2. Di panel navigasi, pilih Endpoints, lalu pilih Create Endpoint.

  3. Untuk Nama Layanan, caricom.amazonaws.region.s3, di region mana nama Wilayah tempat Anda VPC tinggal.

  4. Pilih jenis Gateway.

  5. Untuk VPC, pilih yang ingin VPC Anda gunakan untuk titik akhir ini.

  6. Untuk Konfigurasi tabel rute, pilih tabel rute yang akan digunakan oleh titik akhir. VPCLayanan secara otomatis menambahkan rute ke setiap tabel rute yang Anda pilih yang mengarahkan lalu lintas Amazon S3 ke titik akhir yang baru.

  7. Untuk Kebijakan, pilih Akses Penuh untuk mengizinkan akses penuh ke layanan Amazon S3 oleh pengguna atau layanan mana pun di dalam. VPC

Menambahkan izin untuk lowongan Inference Recommender yang berjalan di Amazon VPC ke kebijakan kustom IAM

Kebijakan AmazonSageMakerFullAccess terkelola mencakup izin yang Anda perlukan untuk menggunakan model yang dikonfigurasi untuk VPC akses Amazon dengan titik akhir. Izin ini memungkinkan Inference Recommender untuk membuat elastic network interface dan melampirkannya ke tugas rekomendasi inferensi yang berjalan di Amazon. VPC Jika Anda menggunakan IAM kebijakan Anda sendiri, Anda harus menambahkan izin berikut ke kebijakan tersebut untuk menggunakan model yang dikonfigurasi untuk VPC akses Amazon.

{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}

Konfigurasikan tabel rute

Gunakan DNS pengaturan default untuk tabel rute titik akhir Anda, sehingga Amazon URLs S3 standar (misalnyahttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket:) diselesaikan. Jika Anda tidak menggunakan DNS pengaturan default, pastikan bahwa yang Anda gunakan untuk menentukan lokasi data dalam pekerjaan rekomendasi inferensi Anda diselesaikan dengan mengonfigurasi tabel rute titik akhir. URLs Untuk informasi tentang tabel rute VPC titik akhir, lihat Titik akhir gateway perutean di Panduan Pengguna Amazon VPC.

Konfigurasikan grup VPC keamanan

Di grup keamanan untuk pekerjaan rekomendasi inferensi, Anda harus mengizinkan komunikasi keluar ke titik akhir Amazon VPC S3 dan rentang CIDR subnet yang digunakan untuk pekerjaan rekomendasi inferensi. Untuk selengkapnya, lihat Aturan Grup Keamanan dan Kontrol akses ke layanan dengan VPC titik akhir Amazon di Panduan VPC Pengguna Amazon.