Connect ke SageMaker Dalam VPC - Amazon SageMaker
Connect ke SageMaker melalui titik akhir VPC antarmukaMenggunakan SageMaker pelatihan dan hosting dengan sumber daya di dalam VPCMembuat Kebijakan VPC Endpoint untuk SageMakerMembuat Kebijakan VPC Endpoint untuk Amazon SageMaker Feature StoreHubungkan Jaringan Pribadi Anda ke Jaringan Anda VPC

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Connect ke SageMaker Dalam VPC

Anda dapat terhubung langsung ke SageMaker API atau ke Amazon SageMaker Runtime melalui titik akhir antarmuka di cloud pribadi virtual Anda (VPC) alih-alih terhubung melalui internet. Ketika Anda menggunakan titik akhir VPC antarmuka, komunikasi antara Anda VPC dan SageMaker API atau Runtime dilakukan sepenuhnya dan aman dalam AWS jaringan.

Connect ke SageMaker melalui titik akhir VPC antarmuka

The SageMaker API and SageMaker Runtime mendukung titik akhir antarmuka Amazon Virtual Private Cloud (AmazonVPC) yang didukung oleh AWS PrivateLink. Setiap VPC titik akhir diwakili oleh satu atau lebih Antarmuka Jaringan Elastis dengan alamat IP pribadi di subnet AndaVPC. Misalnya, aplikasi di dalam VPC penggunaan Anda AWS PrivateLink untuk berkomunikasi dengan SageMaker Runtime. SageMakerRuntime pada gilirannya berkomunikasi dengan titik akhir. SageMaker Penggunaan AWS PrivateLink memungkinkan Anda untuk memanggil SageMaker titik akhir Anda dari dalam AndaVPC, seperti yang ditunjukkan pada diagram berikut.

Sebuah VPC kegunaan AWS PrivateLink untuk berkomunikasi dengan SageMaker endpoint.

Titik akhir VPC antarmuka menghubungkan Anda VPC langsung ke SageMaker API atau SageMaker Runtime menggunakan AWS PrivateLink tanpa menggunakan gateway internet, NAT perangkat, VPN koneksi, atau AWS Direct Connect koneksi. Contoh di Anda VPC tidak perlu terhubung ke internet publik untuk berkomunikasi dengan SageMaker API atau SageMaker Runtime.

Anda dapat membuat AWS PrivateLink titik akhir antarmuka untuk terhubung ke SageMaker atau ke SageMaker Runtime menggunakan salah satu AWS Management Console atau AWS Command Line Interface (AWS CLI). Untuk petunjuk, lihat Mengakses AWS layanan menggunakan VPC titik akhir antarmuka.

Jika Anda belum mengaktifkan nama host Sistem Nama Domain (DNS) pribadi untuk VPC titik akhir Anda, setelah Anda membuat titik akhir, tentukan VPC titik akhir internet URL ke atau Runtime. SageMaker API SageMaker Contoh kode menggunakan AWS CLI perintah untuk menentukan endpoint-url parameter berikut.

aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com  \
    --endpoint-name Endpoint_Name \
    --body "Endpoint_Body" \
    --content-type "Content_Type" \
            Output_File

Jika Anda mengaktifkan DNS nama host pribadi untuk VPC titik akhir Anda, Anda tidak perlu menentukan titik akhir URL karena nama host default (https://api.sagemaker.Region.amazon.com) menyelesaikan ke titik akhir Anda. VPC Demikian pula, DNS nama host SageMaker Runtime default (https://runtime.sagemaker.Region.amazonaws.com) juga menyelesaikan ke titik akhir Anda. VPC

VPCTitik akhir dukungan SageMaker API dan SageMaker Runtime di semua Wilayah AWS di mana Amazon VPC dan SageMakerares tersedia. SageMaker mendukung membuat panggilan ke semua yang Operationsada di dalam AndaVPC. Jika Anda menggunakan AuthorizedUrl dari 
 CreatePresignedNotebookInstanceUrlperintah, lalu lintas Anda akan melalui internet publik. Anda tidak hanya dapat menggunakan VPC titik akhir untuk mengakses presignedURL, permintaan harus melalui gateway internet.

Secara default, pengguna Anda dapat membagikan presigned URL kepada orang-orang di luar jaringan perusahaan Anda. Untuk keamanan tambahan, Anda harus menambahkan IAM izin untuk membatasi URL satu-satunya yang dapat digunakan dalam jaringan Anda. Untuk informasi tentang IAM izin, lihat Cara AWS PrivateLink bekerja dengan IAM.

catatan

Saat menyiapkan titik akhir VPC antarmuka untuk layanan SageMaker Runtime (https://runtime.sagemaker. Region.amazonaws.com), Anda harus memastikan bahwa titik akhir VPC antarmuka diaktifkan di Availability Zone klien Anda agar resolusi pribadi berfungsi. DNS Jika tidak, Anda mungkin melihat DNS kegagalan saat mencoba menyelesaikan masalah. URL

Untuk mempelajari lebih lanjut tentang AWS PrivateLink, lihat AWS PrivateLink dokumentasi. Merujuk ke AWS PrivateLink Harga untuk harga VPC titik akhir. Untuk mempelajari lebih lanjut tentang VPC dan titik akhir, lihat Amazon VPC. Untuk informasi tentang cara menggunakan berbasis identitas AWS Identity and Access Management kebijakan untuk membatasi akses ke SageMaker API dan SageMaker Runtime, lihat. Kontrol akses ke SageMaker API dengan menggunakan kebijakan berbasis identitas

Menggunakan SageMaker pelatihan dan hosting dengan sumber daya di dalam VPC

SageMaker menggunakan peran eksekusi Anda untuk mengunduh dan mengunggah informasi dari bucket Amazon S3 dan Amazon Elastic Container Registry ECR (Amazon), secara terpisah dari wadah pelatihan atau inferensi Anda. Jika Anda memiliki sumber daya yang berada di dalam AndaVPC, Anda masih dapat memberikan SageMaker akses ke sumber daya tersebut. Bagian berikut menjelaskan cara membuat sumber daya Anda tersedia SageMaker dengan atau tanpa isolasi jaringan.

Tanpa isolasi jaringan diaktifkan

Jika Anda belum mengatur isolasi jaringan pada pekerjaan atau model pelatihan Anda, SageMaker dapat mengakses sumber daya menggunakan salah satu metode berikut.

  • SageMaker pelatihan dan wadah inferensi yang diterapkan dapat mengakses internet secara default. SageMaker kontainer dapat mengakses layanan dan sumber daya eksternal di internet publik sebagai bagian dari beban kerja pelatihan dan inferensi Anda. SageMaker kontainer tidak dapat mengakses sumber daya di dalam Anda VPC tanpa VPC konfigurasi, seperti yang ditunjukkan dalam ilustrasi berikut.

    SageMaker tidak dapat mengakses sumber daya di dalam Anda VPC tanpa VPC konfigurasi.

  • Gunakan VPC konfigurasi untuk berkomunikasi dengan sumber daya di dalam Anda VPC melalui elastic network interface (ENI). Komunikasi antara wadah dan sumber daya dalam Anda VPC berlangsung dengan aman di dalam VPC jaringan Anda, seperti yang ditunjukkan pada ilustrasi berikut. Dalam hal ini, Anda mengelola akses jaringan ke VPC sumber daya dan internet Anda.

    SageMaker dapat mengakses dan berkomunikasi dengan sumber daya di dalam Anda VPC dengan VPC konfigurasi.

Dengan isolasi jaringan

Jika Anda menggunakan isolasi jaringan, SageMaker penampung tidak dapat berkomunikasi dengan sumber daya di dalam VPC atau melakukan panggilan jaringan apa pun, seperti yang ditunjukkan pada ilustrasi berikut. Jika Anda menyediakan VPC konfigurasi, operasi pengunduhan dan pengunggahan akan dijalankan melalui AndaVPC. Untuk informasi selengkapnya tentang hosting dan pelatihan dengan isolasi jaringan saat menggunakan aVPC, lihatIsolasi Jaringan.

SageMaker dapat mengakses dan berkomunikasi dengan sumber daya di dalam Anda VPC dengan VPC konfigurasi.

Anda dapat membuat kebijakan untuk VPC titik akhir Amazon SageMaker untuk menentukan hal berikut:

  • Prinsipal yang dapat melakukan tindakan.

  • Tindakan yang dapat dilakukan.

  • Sumber daya yang menjadi target tindakan.

Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan VPC Titik Akhir di Panduan VPC Pengguna Amazon.

catatan

VPCkebijakan titik akhir tidak didukung untuk titik akhir SageMaker waktu proses Federal Information Processing Standard (FIPS) untuk runtime_InvokeEndpoint.

Contoh kebijakan VPC endpoint berikut menetapkan bahwa semua pengguna yang memiliki akses ke titik akhir VPC antarmuka diizinkan untuk memanggil endpoint yang di-host bernama. SageMaker myEndpoint

{
  "Statement": [
      {
          "Action": "sagemaker:InvokeEndpoint",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
          "Principal": "*"
      }
  ]
}

Dalam contoh ini, berikut ini ditolak:

  • SageMaker APITindakan lainnya, seperti sagemaker:CreateEndpoint dansagemaker:CreateTrainingJob.

  • Memanggil titik akhir yang SageMaker dihosting selain. myEndpoint

catatan

Dalam contoh ini, pengguna masih dapat mengambil SageMaker API tindakan lain dari luarVPC. Untuk informasi tentang cara membatasi API panggilan ke panggilan dari dalamVPC, lihatKontrol akses ke SageMaker API dengan menggunakan kebijakan berbasis identitas.

Untuk membuat VPC Endpoint untuk Amazon SageMaker Feature Store, gunakan templat titik akhir berikut, ganti VPC_Endpoint_ID.api and Region:

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

Untuk memanggil SageMaker API dan SageMaker Runtime melalui AndaVPC, Anda harus terhubung dari instance yang ada di dalam VPC atau menghubungkan jaringan pribadi Anda ke Anda VPC dengan menggunakan AWS Virtual Private Network (AWS VPN) atau AWS Direct Connect. Untuk informasi tentang AWS VPN Lihat VPNKoneksi di Panduan Pengguna Amazon Virtual Private Cloud. Untuk informasi tentang AWS Direct Connect, lihat Membuat Koneksi di AWS Panduan Pengguna Direct Connect.