Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Anda dapat terhubung langsung ke SageMaker API atau ke Amazon SageMaker Runtime melalui titik akhir antarmuka di cloud pribadi virtual (VPC) Anda alih-alih terhubung melalui internet. Saat Anda menggunakan titik akhir antarmuka VPC, komunikasi antara VPC dan SageMaker AI API atau Runtime dilakukan sepenuhnya dan aman di dalam jaringan. AWS
Connect ke SageMaker AI melalui titik akhir antarmuka VPC
SageMaker API dan SageMaker AI Runtime mendukung titik akhir antarmuka Amazon Virtual Private Cloud (Amazon VPC) yang didukung oleh. AWS PrivateLink
Titik akhir antarmuka VPC menghubungkan VPC Anda langsung ke SageMaker API atau SageMaker AI Runtime menggunakan AWS PrivateLink tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect Instans di VPC Anda tidak perlu terhubung ke internet publik untuk berkomunikasi dengan API SageMaker atau AI SageMaker Runtime.
Anda dapat membuat titik akhir AWS PrivateLink antarmuka untuk terhubung ke SageMaker AI atau ke SageMaker AI Runtime menggunakan AWS Management Console atau AWS Command Line Interface ()AWS CLI. Untuk petunjuk, lihat Mengakses AWS layanan menggunakan titik akhir VPC antarmuka.
Jika Anda belum mengaktifkan nama host Sistem Nama Domain (DNS) pribadi untuk titik akhir VPC Anda, setelah Anda membuat titik akhir VPC, tentukan URL titik akhir internet ke API atau AI Runtime. SageMaker SageMaker Contoh kode menggunakan AWS CLI perintah untuk menentukan endpoint-url parameter berikut.
aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \
--endpoint-name Endpoint_Name \
--body "Endpoint_Body" \
--content-type "Content_Type" \
Output_FileJika Anda mengaktifkan nama host DNS pribadi untuk titik akhir VPC Anda, Anda tidak perlu menentukan URL titik akhir karena nama host default (https://api.sagemaker. Region.amazon.com) menyelesaikan ke titik akhir VPC Anda. Demikian pula, nama host SageMaker AI Runtime DNS default (https://runtime.sagemaker. Region.amazonaws.com) juga menyelesaikan ke titik akhir VPC Anda.
SageMaker API dan SageMaker AI Runtime mendukung titik akhir VPC di semua Wilayah AWS tempat Amazon SageMaker VPC dan AI tersedia. SageMaker AI mendukung panggilan ke semua yang ada Operationsdi dalam VPC Anda. Jika Anda menggunakan AuthorizedUrl dari
CreatePresignedNotebookInstanceUrlperintah, lalu lintas Anda akan melalui internet publik. Anda tidak hanya dapat menggunakan titik akhir VPC untuk mengakses URL yang telah ditetapkan sebelumnya, permintaan harus melalui gateway internet.
Secara default, pengguna Anda dapat membagikan URL yang telah ditetapkan sebelumnya kepada orang-orang di luar jaringan perusahaan Anda. Untuk keamanan tambahan, Anda harus menambahkan izin IAM untuk membatasi URL hanya dapat digunakan dalam jaringan Anda. Untuk informasi tentang izin IAM, lihat Cara AWS PrivateLink kerja dengan IAM.
catatan
Saat menyiapkan titik akhir antarmuka VPC untuk layanan SageMaker AI Runtime (https://runtime.sagemaker. Region
Untuk mempelajari selengkapnya AWS PrivateLink, lihat AWS PrivateLink dokumentasi. Lihat AWS PrivateLink Harga
Menggunakan SageMaker pelatihan dan hosting dengan sumber daya di dalam VPC Anda
SageMaker AI menggunakan peran eksekusi Anda untuk mengunduh dan mengunggah informasi dari bucket Amazon S3 dan Amazon Elastic Container Registry (Amazon ECR) Registry ECR), terpisah dari wadah pelatihan atau inferensi Anda. Jika Anda memiliki sumber daya yang berada di dalam VPC Anda, Anda masih dapat memberikan akses SageMaker AI ke sumber daya tersebut. Bagian berikut menjelaskan cara membuat sumber daya Anda tersedia untuk SageMaker AI dengan atau tanpa isolasi jaringan.
Tanpa isolasi jaringan diaktifkan
Jika Anda belum mengatur isolasi jaringan pada pekerjaan atau model pelatihan Anda, SageMaker AI dapat mengakses sumber daya menggunakan salah satu metode berikut.
-
SageMaker pelatihan dan wadah inferensi yang diterapkan dapat mengakses internet secara default. SageMaker Kontainer AI dapat mengakses layanan dan sumber daya eksternal di internet publik sebagai bagian dari beban kerja pelatihan dan inferensi Anda. SageMaker Kontainer AI tidak dapat mengakses sumber daya di dalam VPC Anda tanpa konfigurasi VPC, seperti yang ditunjukkan pada ilustrasi berikut.
-
Gunakan konfigurasi VPC untuk berkomunikasi dengan sumber daya di dalam VPC Anda melalui elastic network interface (ENI). Komunikasi antara wadah dan sumber daya di VPC Anda berlangsung dengan aman di dalam jaringan VPC Anda, seperti yang ditunjukkan pada ilustrasi berikut. Dalam hal ini, Anda mengelola akses jaringan ke sumber daya VPC dan internet Anda.
Dengan isolasi jaringan
Jika Anda menggunakan isolasi jaringan, wadah SageMaker AI tidak dapat berkomunikasi dengan sumber daya di dalam VPC Anda atau melakukan panggilan jaringan apa pun, seperti yang ditunjukkan pada ilustrasi berikut. Jika Anda menyediakan konfigurasi VPC, operasi pengunduhan dan pengunggahan akan dijalankan melalui VPC Anda. Untuk informasi selengkapnya tentang hosting dan pelatihan dengan isolasi jaringan saat menggunakan VPC, lihat. Isolasi Jaringan
Membuat Kebijakan Titik Akhir VPC untuk AI SageMaker
Anda dapat membuat kebijakan untuk titik akhir VPC Amazon untuk SageMaker AI untuk menentukan hal berikut:
-
Prinsipal yang dapat melakukan tindakan.
-
Tindakan yang dapat dilakukan.
-
Sumber daya yang menjadi target tindakan.
Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan VPC Endpoint dalam Panduan Pengguna Amazon VPC.
catatan
Kebijakan titik akhir VPC tidak didukung untuk titik akhir runtime AI Federal Information Processing Standard (FIPS) SageMaker untuk runtime_InvokeEndpoint.
Contoh kebijakan titik akhir VPC berikut menetapkan bahwa semua pengguna yang memiliki akses ke titik akhir antarmuka VPC diizinkan untuk memanggil titik akhir yang dihosting AI bernama. SageMaker myEndpoint
{
"Statement": [
{
"Action": "sagemaker:InvokeEndpoint",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
"Principal": "*"
}
]
}Dalam contoh ini, berikut ini ditolak:
-
Tindakan SageMaker API lainnya, seperti
sagemaker:CreateEndpointdansagemaker:CreateTrainingJob. -
Memanggil titik akhir yang dihosting SageMaker AI selain.
myEndpoint
catatan
Dalam contoh ini, pengguna masih dapat mengambil tindakan SageMaker API lain dari luar VPC. Untuk informasi tentang cara membatasi panggilan API ke panggilan dari dalam VPC, lihat. Kontrol akses ke SageMaker AI API dengan menggunakan kebijakan berbasis identitas
Membuat Kebijakan Titik Akhir VPC untuk Amazon Feature Store SageMaker
Untuk membuat Endpoint VPC untuk Amazon SageMaker Feature Store, gunakan templat endpoint berikut, ganti template Anda dan: VPC_Endpoint_ID.api Region
VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com
Hubungkan Jaringan Pribadi Anda ke VPC
Untuk memanggil SageMaker API dan SageMaker AI Runtime melalui VPC Anda, Anda harus terhubung dari instance yang ada di dalam VPC atau menghubungkan jaringan pribadi Anda ke VPC Anda dengan menggunakan () atau. AWS Virtual Private Network AWS VPN AWS Direct Connect Untuk selengkapnya AWS VPN, lihat Koneksi VPN di Panduan Pengguna Amazon Virtual Private Cloud. Untuk selengkapnya AWS Direct Connect, lihat Membuat Sambungan di Panduan Pengguna AWS Direct Connect.
