Mengonfigurasi Job Kompilasi untuk Amazon VPC Access Konfigurasikan Private Anda VPC untuk Kompilasi SageMaker AI

Berikan Akses Pekerjaan Kompilasi SageMaker AI ke Sumber Daya di Amazon Anda VPC

catatan

Untuk pekerjaan kompilasi, Anda hanya dapat mengonfigurasi subnet dengan penyewaan default VPC di mana pekerjaan Anda berjalan pada perangkat keras bersama. Untuk informasi selengkapnya tentang atribut tenancyVPCs, lihat Instans Khusus.

Mengonfigurasi Job Kompilasi untuk Amazon VPC Access

Untuk menentukan subnet dan grup keamanan di privat AndaVPC, gunakan parameter VpcConfig permintaan CreateCompilationJobAPI, atau berikan informasi ini saat Anda membuat pekerjaan kompilasi di konsol SageMaker AI. SageMaker AI Neo menggunakan informasi ini untuk membuat antarmuka jaringan dan melampirkannya ke pekerjaan kompilasi Anda. Antarmuka jaringan menyediakan pekerjaan kompilasi dengan koneksi jaringan di dalam Anda VPC yang tidak terhubung ke internet. Mereka juga memungkinkan pekerjaan kompilasi Anda untuk terhubung ke sumber daya di pribadi AndaVPC. Berikut ini adalah contoh VpcConfig parameter yang Anda sertakan dalam panggilan Anda keCreateCompilationJob:


VpcConfig: {"Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

Konfigurasikan Private Anda VPC untuk Kompilasi SageMaker AI

Saat mengonfigurasi privat VPC untuk pekerjaan kompilasi SageMaker AI Anda, gunakan panduan berikut. Untuk informasi tentang pengaturanVPC, lihat Bekerja dengan VPCs dan Subnet di Panduan VPC Pengguna Amazon.

Topik

Pastikan Subnet Memiliki Alamat IP yang Cukup
Buat Endpoint Amazon S3 VPC
Gunakan Kebijakan Endpoint Kustom untuk Membatasi Akses ke S3
Konfigurasikan Tabel Rute
Konfigurasikan Grup VPC Keamanan

Pastikan Subnet Memiliki Alamat IP yang Cukup

VPCSubnet Anda harus memiliki setidaknya dua alamat IP pribadi untuk setiap instance dalam pekerjaan kompilasi. Untuk informasi selengkapnya, lihat VPCdan Ukuran Subnet untuk IPv4 di VPCPanduan Pengguna Amazon.

Buat Endpoint Amazon S3 VPC

Jika Anda mengonfigurasi VPC untuk memblokir akses ke internet, SageMaker Neo tidak dapat terhubung ke bucket Amazon S3 yang berisi model Anda kecuali Anda membuat VPC titik akhir yang memungkinkan akses. Dengan membuat VPC titik akhir, Anda mengizinkan pekerjaan kompilasi SageMaker Neo Anda untuk mengakses bucket tempat Anda menyimpan data dan artefak model. Kami menyarankan Anda juga membuat kebijakan khusus yang hanya mengizinkan permintaan dari pribadi Anda VPC untuk mengakses bucket S3 Anda. Untuk informasi selengkapnya, lihat Titik Akhir untuk Amazon S3.

Untuk membuat titik VPC akhir S3:

Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.
Di panel navigasi, pilih Endpoints, lalu pilih Create Endpoint
Untuk Nama Layanan, cari com.amazonaws. region.s3, di region mana nama wilayah tempat Anda VPC tinggal.
Pilih jenis Gateway.
Untuk VPC, pilih yang ingin VPC Anda gunakan untuk titik akhir ini.
Untuk Konfigurasi tabel rute, pilih tabel rute yang akan digunakan oleh titik akhir. VPCLayanan secara otomatis menambahkan rute ke setiap tabel rute yang Anda pilih yang mengarahkan lalu lintas S3 ke titik akhir yang baru.
Untuk Kebijakan, pilih Akses Penuh untuk mengizinkan akses penuh ke layanan S3 oleh pengguna atau layanan mana pun di VPC dalam. Pilih Custom untuk membatasi akses lebih lanjut. Untuk informasi, lihat Gunakan Kebijakan Endpoint Kustom untuk Membatasi Akses ke S3.

Gunakan Kebijakan Endpoint Kustom untuk Membatasi Akses ke S3

Kebijakan endpoint default memungkinkan akses penuh ke S3 untuk setiap pengguna atau layanan di Anda. VPC Untuk lebih membatasi akses ke S3, buat kebijakan titik akhir kustom. Untuk informasi selengkapnya, lihat Menggunakan Kebijakan Titik Akhir untuk Amazon S3. Anda juga dapat menggunakan kebijakan bucket untuk membatasi akses ke bucket S3 hanya untuk lalu lintas yang berasal dari Amazon Anda. VPC Untuk selengkapnya, lihat Menggunakan Kebijakan Bucket Amazon S3. Berikut ini adalah contoh kebijakan yang disesuaikan:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::your-sample-bucket",
                "arn:aws:s3:::your-sample-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "aws:SourceVpce": [
                        "vpce-01234567890123456"
                    ]
                }
            }
        }
    ]
}

Menambahkan Izin untuk Pekerjaan Kompilasi yang Berjalan di Amazon VPC ke Kebijakan Kustom IAM

Kebijakan SageMakerFullAccess terkelola mencakup izin yang Anda perlukan untuk menggunakan model yang dikonfigurasi untuk VPC akses Amazon dengan titik akhir. Izin ini memungkinkan SageMaker Neo untuk membuat elastic network interface dan melampirkannya ke pekerjaan kompilasi yang berjalan di AmazonVPC. Jika Anda menggunakan IAM kebijakan Anda sendiri, Anda harus menambahkan izin berikut ke kebijakan tersebut untuk menggunakan model yang dikonfigurasi untuk VPC akses Amazon.


{"Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}

Untuk informasi selengkapnya tentang kebijakan SageMakerFullAccess terkelola, lihatAWS kebijakan terkelola: AmazonSageMakerFullAccess.

Konfigurasikan Tabel Rute

Gunakan DNS pengaturan default untuk tabel rute titik akhir Anda, sehingga Amazon URLs S3 standar (misalnyahttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket,) diselesaikan. Jika Anda tidak menggunakan DNS pengaturan default, pastikan URLs bahwa yang Anda gunakan untuk menentukan lokasi data dalam pekerjaan kompilasi Anda diselesaikan dengan mengonfigurasi tabel rute titik akhir. Untuk informasi tentang tabel rute VPC titik akhir, lihat Perutean untuk Titik Akhir Gateway di Panduan Pengguna Amazon VPC.

Konfigurasikan Grup VPC Keamanan

Di grup keamanan untuk pekerjaan kompilasi, Anda harus mengizinkan komunikasi keluar ke titik akhir Amazon S3 VPC Amazon dan rentang subnet CIDR yang digunakan untuk pekerjaan kompilasi. Untuk selengkapnya, lihat Aturan Grup Keamanan dan Kontrol akses ke layanan dengan VPC titik akhir Amazon.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Berikan Amazon SageMaker Clarify Lowongan Akses ke Sumber Daya di Amazon Anda VPC

Berikan Akses Pekerjaan Inferensi Rekomendasi ke Sumber Daya di Amazon Anda VPC