Offri a Batch Transform Jobs l'accesso alle risorse del tuo Amazon VPC - Amazon SageMaker
Configurazione di un Batch Transform Job per Amazon VPC AccessConfigura il tuo account privato VPC per SageMaker Batch Transform

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Offri a Batch Transform Jobs l'accesso alle risorse del tuo Amazon VPC

Per controllare l'accesso ai dati e i processi di trasformazione in batch, ti consigliamo di creare un Amazon privato VPC e configurarlo in modo che i tuoi lavori non siano accessibili sulla rete Internet pubblica. Quando crei un modello, specifichi la tua VPC configurazione privata specificando sottoreti e gruppi di sicurezza. Specifica quindi lo stesso modello al momento della creazione di un processo di trasformazione in batch. Quando si specificano le sottoreti e i gruppi di sicurezza, SageMaker crea interfacce di rete elastiche associate ai gruppi di sicurezza in una delle sottoreti. Le interfacce di rete consentono ai contenitori del modello di connettersi alle risorse di. VPC Per informazioni sulle interfacce di rete, consulta Elastic Network Interfaces nella Amazon VPC User Guide.

Questo documento spiega come aggiungere VPC configurazioni Amazon per i lavori di trasformazione in batch.

Configurazione di un Batch Transform Job per Amazon VPC Access

Per specificare sottoreti e gruppi di sicurezza in modalità privataVPC, utilizza il parametro VpcConfig request di o fornisci queste informazioni quando crei un modello nella SageMaker console. CreateModelAPI Quindi CreateTransformJobAPI, specifica lo stesso modello nel parametro di ModelName richiesta di o nel campo Nome modello quando crei un processo di trasformazione nella SageMaker console. SageMaker utilizza queste informazioni per creare interfacce di rete e collegarle ai contenitori del modello. Le interfacce di rete forniscono ai contenitori del modello una connessione di rete interna VPC che non è connessa a Internet. Inoltre, consentono a Transform Job di connettersi alle risorse privateVPC.

Di seguito viene mostrato un esempio del parametro VpcConfig che includi nella tua chiamata a CreateModel:

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

Se si crea un modello utilizzando l'CreateModelAPIoperazione, il ruolo di IAM esecuzione utilizzato per creare il modello deve includere le autorizzazioni descritte inCreateModel API: Autorizzazioni per il ruolo di esecuzione, incluse le seguenti autorizzazioni richieste per un privato. VPC

Quando si crea un modello nella console, se si seleziona Crea un nuovo ruolo nella sezione Impostazioni modello, la AmazonSageMakerFullAccess politica utilizzata per creare il ruolo contiene già queste autorizzazioni. Se si seleziona Inserisci un IAM ruolo personalizzato ARN o Usa ruolo esistente, al ruolo ARN specificato deve essere associata una politica di esecuzione con le seguenti autorizzazioni. 

{
            "Effect": "Allow",
            "Action": [
            "ec2:CreateNetworkInterface",
            "ec2:CreateNetworkInterfacePermission",
            "ec2:DeleteNetworkInterface",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeVpcs",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeSubnets",
            "ec2:DescribeSecurityGroups"

Configura il tuo account privato VPC per SageMaker Batch Transform

Quando configuri la modalità privata VPC per i processi di trasformazione in SageMaker batch, utilizza le seguenti linee guida. Per informazioni sulla configurazione di unVPC, consulta Working with VPCs and Subnet nella Amazon VPC User Guide.

Verificare che le sottoreti abbiano abbastanza indirizzi IP

Le tue VPC sottoreti devono avere almeno due indirizzi IP privati per ogni istanza in un processo di trasformazione. Per ulteriori informazioni, consulta la sezione VPCdedicata al dimensionamento delle sottoreti IPv4 nella Amazon VPC User Guide.

Crea un endpoint Amazon S3 VPC

Se configuri i container modello VPC in modo che non abbiano accesso a Internet, non possono connettersi ai bucket Amazon S3 che contengono i tuoi dati a meno che non crei un VPC endpoint che consenta l'accesso. Creando un VPC endpoint, consenti ai contenitori del modello di accedere ai bucket in cui archivi i dati e gli artefatti del modello. Ti consigliamo inoltre di creare una policy personalizzata che consenta solo alle richieste provenienti da utenti privati di accedere VPC ai tuoi bucket S3. Per ulteriori informazioni, consulta Endpoints for Amazon S3.

Per creare un endpoint S3: VPC

  1. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, selezionare Endpoints (Endpoint) e scegliere Create Endpoint (Crea endpoint).

  3. Per Service Name, scegli com.amazonaws.region.s3, dove region è il nome della regione in cui risiediVPC.

  4. Per VPC, scegli VPC quello che vuoi usare per questo endpoint.

  5. In Configure route tables (Configura tabelle di routing), selezionare le tabelle di routing che devono essere utilizzate dall'endpoint. Il VPC servizio aggiunge automaticamente un percorso a ogni tabella di rotte selezionata che indirizza il traffico S3 verso il nuovo endpoint.

  6. Per Policy, scegli Accesso completo per consentire l'accesso completo al servizio S3 da parte di qualsiasi utente o servizio all'interno di. VPC Scegliere Custom (Personalizzato) per limitare ulteriormente l'accesso. Per informazioni, consultare Usare una policy di endpoint personalizzata per limitare l'accesso a S3.

Usare una policy di endpoint personalizzata per limitare l'accesso a S3

La policy predefinita per gli endpoint consente l'accesso completo a S3 per qualsiasi utente o servizio del tuo. VPC Per limitare ulteriormente l'accesso a S3, crea una policy di endpoint personalizzata. Per ulteriori informazioni, consulta Utilizzo delle policy dell'endpoint per Amazon S3. Puoi anche utilizzare una policy sui bucket per limitare l'accesso ai tuoi bucket S3 solo al traffico proveniente dal tuo Amazon. VPC Per ulteriori informazioni, consulta Utilizzo delle policy bucket Amazon S3.

Limitare l'installazione dei pacchetti nel container del modello

La policy di endpoint predefinita permette agli utenti di installare pacchetti dai repository di Amazon Linux e Amazon Linux 2 nel container di addestramento. Per impedire agli utenti di installare pacchetti da quel repository, crea una policy di endpoint personalizzata che nega esplicitamente l'accesso ai repository di Amazon Linux e Amazon Linux 2. Di seguito è riportato un esempio di policy che nega l'accesso a questi repository:

{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

Configurare le tabelle di routing

Utilizza DNS le impostazioni predefinite per la tabella di routing degli endpoint, in modo che Amazon URLs S3 standard (ad esempiohttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) si risolva. Se non utilizzi DNS le impostazioni predefinite, assicurati che quelle utilizzate per specificare le posizioni dei dati nei processi di trasformazione in batch si risolvano configurando le tabelle di routing degli endpoint. URLs Per informazioni sulle tabelle di routing VPC degli endpoint, consulta Routing for Gateway Endpoints nella Amazon VPC User Guide.

Configura il gruppo di sicurezza VPC

Nella trasformazione in batch distribuita, devi consentire la comunicazione tra diversi container nello stesso processo di trasformazione in batch. A tale scopo, configura una regola per il gruppo di sicurezza che consente connessioni in entrata e in uscita tra i membri dello stesso gruppo di sicurezza. I membri dello stesso gruppo di sicurezza dovrebbero essere in grado di comunicare tra loro attraverso tutte le porte. Per ulteriori informazioni, consulta Regole del gruppo di sicurezza.

Connettiti a risorse esterne al tuo VPC

Se configuri il tuo VPC in modo che non abbia accesso a Internet, trasforma in batch i lavori che utilizzano che VPC non hanno accesso a risorse esterne alle tueVPC. Se il processo di trasformazione in batch richiede l'accesso a risorse esterne al tuoVPC, fornisci l'accesso con una delle seguenti opzioni:

  • Se il processo di trasformazione in batch richiede l'accesso a un AWS servizio che supporta gli VPC endpoint di interfaccia, crea un endpoint per connetterti a quel servizio. Per un elenco di servizi che supportano gli endpoint di interfaccia, consulta VPCEndpoints nella Amazon VPC User Guide. Per informazioni sulla creazione di un VPC endpoint di interfaccia, consulta Interface VPC Endpoints (AWS PrivateLink) nella Amazon VPC User Guide.

  • Se il processo di trasformazione in batch richiede l'accesso a un AWS servizio che non supporta gli VPC endpoint di interfaccia o a una risorsa esterna AWS, crea un NAT gateway e configura i gruppi di sicurezza per consentire le connessioni in uscita. Per informazioni sulla configurazione di un NAT gateway per il tuoVPC, consulta Scenario 2: VPC with Public and Private Subnet (NAT) nella Amazon Virtual Private Cloud User Guide.