Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Connect ke SageMaker Dalam VPC
Anda dapat terhubung langsung ke SageMaker API atau ke Amazon SageMaker Runtime melalui titik akhir antarmuka di cloud pribadi virtual Anda (VPC) alih-alih terhubung melalui internet. Saat Anda menggunakan titik akhir VPC antarmuka, komunikasi antara Anda VPC dan SageMaker API atau Runtime dilakukan sepenuhnya dan aman dalam jaringan. AWS
Connect ke SageMaker melalui titik akhir VPC antarmuka
The SageMaker API and SageMaker Runtime mendukung titik akhir antarmuka Amazon Virtual Private Cloud (AmazonVPC) yang didukung oleh. AWS PrivateLink
Titik akhir VPC antarmuka menghubungkan Anda VPC langsung ke SageMaker API atau SageMaker Runtime menggunakan AWS PrivateLink tanpa menggunakan gateway internet, NAT perangkat, VPN koneksi, atau AWS Direct Connect koneksi. Contoh di Anda VPC tidak perlu terhubung ke internet publik untuk berkomunikasi dengan SageMaker API atau SageMaker Runtime.
Anda dapat membuat titik akhir AWS PrivateLink antarmuka untuk terhubung ke SageMaker atau ke SageMaker Runtime menggunakan AWS Management Console atau AWS Command Line Interface ()AWS CLI. Untuk petunjuk, lihat Mengakses AWS layanan menggunakan VPC titik akhir antarmuka.
Jika Anda belum mengaktifkan nama host Sistem Nama Domain (DNS) pribadi untuk VPC titik akhir Anda, setelah Anda membuat titik akhir, tentukan VPC titik akhir internet URL ke atau Runtime. SageMaker API SageMaker Contoh kode menggunakan AWS CLI perintah untuk menentukan endpoint-url parameter berikut.
aws sagemaker list-notebook-instances --endpoint-urlVPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker list-training-jobs --endpoint-urlVPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \ --endpoint-nameEndpoint_Name\ --body "Endpoint_Body" \ --content-type "Content_Type" \Output_File
Jika Anda mengaktifkan DNS nama host pribadi untuk VPC titik akhir Anda, Anda tidak perlu menentukan titik akhir URL karena nama host default (https://api.sagemaker.Region.amazon.com) menyelesaikan ke titik akhir Anda. VPC Demikian pula, DNS nama host SageMaker Runtime default (https://runtime.sagemaker.Region.amazonaws.com) juga menyelesaikan ke titik akhir Anda. VPC
VPCTitik akhir dukungan SageMaker API dan SageMaker Runtime di semua Wilayah AWS tempat Amazon VPC dan SageMakerares tersedia. SageMaker mendukung membuat panggilan ke semua yang Operationsada di dalam AndaVPC. Jika Anda menggunakan AuthorizedUrl dari
CreatePresignedNotebookInstanceUrlperintah, lalu lintas Anda akan melalui internet publik. Anda tidak hanya dapat menggunakan VPC titik akhir untuk mengakses presignedURL, permintaan harus melalui gateway internet.
Secara default, pengguna Anda dapat membagikan presigned URL kepada orang-orang di luar jaringan perusahaan Anda. Untuk keamanan tambahan, Anda harus menambahkan IAM izin untuk membatasi URL satu-satunya yang dapat digunakan dalam jaringan Anda. Untuk informasi tentang IAM izin, lihat Cara AWS PrivateLink bekerja dengan IAM.
catatan
Saat menyiapkan titik akhir VPC antarmuka untuk layanan SageMaker Runtime (https://runtime.sagemaker. Region
Untuk mempelajari selengkapnya AWS PrivateLink, lihat AWS PrivateLink dokumentasi. Lihat AWS PrivateLink Harga
Menggunakan SageMaker pelatihan dan hosting dengan sumber daya di dalam Anda VPC
SageMaker menggunakan peran eksekusi Anda untuk mengunduh dan mengunggah informasi dari bucket Amazon S3 dan Amazon Elastic Container Registry ECR (Amazon), secara terpisah dari wadah pelatihan atau inferensi Anda. Jika Anda memiliki sumber daya yang berada di dalam AndaVPC, Anda masih dapat memberikan SageMaker akses ke sumber daya tersebut. Bagian berikut menjelaskan cara membuat sumber daya Anda tersedia SageMaker dengan atau tanpa isolasi jaringan.
Tanpa isolasi jaringan diaktifkan
Jika Anda belum mengatur isolasi jaringan pada pekerjaan atau model pelatihan Anda, SageMaker dapat mengakses sumber daya menggunakan salah satu metode berikut.
-
SageMaker pelatihan dan wadah inferensi yang diterapkan dapat mengakses internet secara default. SageMaker kontainer dapat mengakses layanan dan sumber daya eksternal di internet publik sebagai bagian dari beban kerja pelatihan dan inferensi Anda. SageMaker kontainer tidak dapat mengakses sumber daya di dalam Anda VPC tanpa VPC konfigurasi, seperti yang ditunjukkan dalam ilustrasi berikut.
-
Gunakan VPC konfigurasi untuk berkomunikasi dengan sumber daya di dalam Anda VPC melalui elastic network interface (ENI). Komunikasi antara wadah dan sumber daya dalam Anda VPC berlangsung dengan aman di dalam VPC jaringan Anda, seperti yang ditunjukkan pada ilustrasi berikut. Dalam hal ini, Anda mengelola akses jaringan ke VPC sumber daya dan internet Anda.
Dengan isolasi jaringan
Jika Anda menggunakan isolasi jaringan, SageMaker wadah tidak dapat berkomunikasi dengan sumber daya di dalam VPC atau melakukan panggilan jaringan apa pun, seperti yang ditunjukkan pada ilustrasi berikut. Jika Anda menyediakan VPC konfigurasi, operasi pengunduhan dan pengunggahan akan dijalankan melalui AndaVPC. Untuk informasi selengkapnya tentang hosting dan pelatihan dengan isolasi jaringan saat menggunakan aVPC, lihatIsolasi Jaringan.
Membuat Kebijakan VPC Endpoint untuk SageMaker
Anda dapat membuat kebijakan untuk VPC titik akhir Amazon SageMaker untuk menentukan hal berikut:
-
Prinsipal yang dapat melakukan tindakan.
-
Tindakan yang dapat dilakukan.
-
Sumber daya yang menjadi target tindakan.
Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan VPC Titik Akhir di Panduan VPC Pengguna Amazon.
catatan
VPCkebijakan titik akhir tidak didukung untuk titik akhir SageMaker waktu proses Federal Information Processing Standard (FIPS) untuk runtime_InvokeEndpoint.
Contoh kebijakan VPC endpoint berikut menetapkan bahwa semua pengguna yang memiliki akses ke titik akhir VPC antarmuka diizinkan untuk memanggil endpoint yang di-host bernama. SageMaker myEndpoint
{ "Statement": [ { "Action": "sagemaker:InvokeEndpoint", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint", "Principal": "*" } ] }
Dalam contoh ini, berikut ini ditolak:
-
SageMaker APITindakan lainnya, seperti
sagemaker:CreateEndpointdansagemaker:CreateTrainingJob. -
Memanggil titik akhir yang SageMaker dihosting selain.
myEndpoint
catatan
Dalam contoh ini, pengguna masih dapat mengambil SageMaker API tindakan lain dari luarVPC. Untuk informasi tentang cara membatasi API panggilan ke panggilan dari dalamVPC, lihatKontrol akses ke SageMaker API dengan menggunakan kebijakan berbasis identitas.
Membuat Kebijakan VPC Endpoint untuk Amazon SageMaker Feature Store
Untuk membuat VPC Endpoint untuk Amazon SageMaker Feature Store, gunakan templat titik akhir berikut, ganti VPC_Endpoint_ID.api and Region:
VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com
Connect Private Network Anda ke VPC
Untuk memanggil SageMaker API dan SageMaker Runtime melalui AndaVPC, Anda harus terhubung dari instance yang ada di dalam VPC atau menghubungkan jaringan pribadi Anda ke jaringan Anda VPC dengan menggunakan AWS Virtual Private Network (AWS VPN) atau AWS Direct Connect. Untuk selengkapnya AWS VPN, lihat VPNKoneksi di Panduan Pengguna Amazon Virtual Private Cloud. Untuk selengkapnya AWS Direct Connect, lihat Membuat Sambungan di Panduan Pengguna AWS Direct Connect.
