Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Autorizzazione dei processi di trasformazione in batch ad accedere alle risorse nel tuo Amazon VPC

PDF
RSS
Modalità Focus
Autorizzazione dei processi di trasformazione in batch ad accedere alle risorse nel tuo Amazon VPC - Amazon SageMaker AI
Configurazione di un processo di trasformazione in batch per l'accesso ad Amazon VPCConfigura il tuo VPC privato per AI SageMaker Batch Transform

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per controllare l'accesso ai tuoi dati e ai processi di trasformazione in batch, ti consigliamo di creare un Amazon VPC privato e configurarlo in modo che i processi non siano accessibili su Internet. La configurazione del VPC privato viene specificata durante la creazione di un modello specificando le sottoreti e i gruppi di sicurezza. Specifica quindi lo stesso modello al momento della creazione di un processo di trasformazione in batch. Quando specifichi le sottoreti e i gruppi di sicurezza, l' SageMaker intelligenza artificiale crea interfacce di rete elastiche associate ai gruppi di sicurezza in una delle sottoreti. Le interfacce di rete consentono ai container di modello di connettersi alle risorse nel tuo VPC. Per ulteriori informazioni sulle interfacce di rete, consulta Interfacce di rete elastiche nella Guida per l'utente di Amazon VPC.

Questo documento spiega come aggiungere configurazioni di Amazon VPC per i processi di trasformazione in batch.

Configurazione di un processo di trasformazione in batch per l'accesso ad Amazon VPC

Per specificare sottoreti e gruppi di sicurezza nel tuo VPC privato, utilizza il parametro VpcConfig request dell'CreateModelAPI o fornisci queste informazioni quando crei un modello nella console AI. SageMaker Quindi specifica lo stesso modello nel parametro di ModelName richiesta dell'CreateTransformJobAPI o nel campo Nome modello quando crei un processo di trasformazione nella SageMaker console AI. SageMaker L'intelligenza artificiale utilizza queste informazioni per creare interfacce di rete e collegarle ai contenitori del modello. Le interfacce di rete forniscono ai container di modello una connessione di rete all'interno del tuo VPC che non è connesso a Internet. Consentono anche al tuo processo di trasformazione di connettersi alle risorse nel tuo VPC privato.

Di seguito viene mostrato un esempio del parametro VpcConfig che includi nella tua chiamata a CreateModel:

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

Se crei un modello utilizzando l'operazione API CreateModel, il ruolo di esecuzione IAM utilizzato per creare il modello deve includere le autorizzazioni descritte in CreateModel API: autorizzazioni per i ruoli di esecuzione, incluse le seguenti autorizzazioni necessarie per un VPC privato.

Quando si crea un modello nella console, se si seleziona Crea un nuovo ruolo nella sezione Impostazioni modello, la AmazonSageMakerFullAccess politica utilizzata per creare il ruolo contiene già queste autorizzazioni. Se selezioni Immetti un ARN per il ruolo IAM personalizzato oppure Usa ruolo esistente, all'ARN del ruolo specificato deve avere collegata una policy di esecuzione con le autorizzazioni seguenti. 

{
            "Effect": "Allow",
            "Action": [
            "ec2:CreateNetworkInterface",
            "ec2:CreateNetworkInterfacePermission",
            "ec2:DeleteNetworkInterface",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeVpcs",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeSubnets",
            "ec2:DescribeSecurityGroups"

Configura il tuo VPC privato per AI SageMaker Batch Transform

Quando configuri il VPC privato per i SageMaker tuoi lavori di trasformazione in batch AI, utilizza le seguenti linee guida. Per informazioni sulla configurazione di un VPC, consulta Working with VPCs and Subnet nella Amazon VPC User Guide.

Verificare che le sottoreti abbiano abbastanza indirizzi IP

Le sottoreti VPC devono avere almeno due indirizzi IP privati per ogni istanza in un processo di trasformazione. Per ulteriori informazioni, consulta VPC and Subnet Sizing nella IPv4 Amazon VPC User Guide.

Creazione di un endpoint VPC Amazon S3

Se configuri il tuo VPC in modo che i container di modello non abbiano accesso a Internet, non possono connettersi ai bucket Amazon S3 che contengono i dati, a meno che non crei un endpoint VPC che consente l'accesso. La creazione di un endpoint VPC consente ai tuoi container di modello di accedere ai bucket in cui archivi i tuoi dati e artefatti del modello. Ti consigliamo inoltre di creare una policy personalizzata che consente l'accesso ai tuoi bucket S3 solo alle richieste dal tuo VPC privato. Per ulteriori informazioni, consulta Endpoints for Amazon S3.

Per creare un endpoint VPC S3

  1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, selezionare Endpoints (Endpoint) e scegliere Create Endpoint (Crea endpoint).

  3. Per il nome del servizio, scegli com.amazonaws. region.s3, dove region è il nome della regione in cui risiede il tuo VPC.

  4. In VPC scegliere il VPC da utilizzare per l'endpoint.

  5. In Configure route tables (Configura tabelle di routing), selezionare le tabelle di routing che devono essere utilizzate dall'endpoint. Il servizio VPC aggiunge automaticamente una route a ogni tabella di routing selezionata che indirizza il traffico S3 al nuovo endpoint.

  6. In Policy scegliere Full Access (Accesso completo) per consentire l'accesso completo al servizio S3 da parte degli utenti o servizi all'interno del VPC. Scegliere Custom (Personalizzato) per limitare ulteriormente l'accesso. Per informazioni, consultare Usare una policy di endpoint personalizzata per limitare l'accesso a S3.

Usare una policy di endpoint personalizzata per limitare l'accesso a S3

La policy di endpoint predefinita consente l'accesso completo a S3 da parte degli utenti o servizi nel tuo VPC. Per limitare ulteriormente l'accesso a S3, crea una policy di endpoint personalizzata. Per ulteriori informazioni, consulta Utilizzo delle policy dell'endpoint per Amazon S3. Puoi anche possibile utilizzare una policy di bucket per limitare l'accesso ai bucket S3 al solo traffico proveniente dal tuo Amazon VPC. Per ulteriori informazioni, consulta Utilizzo delle policy bucket Amazon S3.

Limitare l'installazione dei pacchetti nel container del modello

La policy di endpoint predefinita permette agli utenti di installare pacchetti dai repository di Amazon Linux e Amazon Linux 2 nel container di addestramento. Per impedire agli utenti di installare pacchetti da quel repository, crea una policy di endpoint personalizzata che nega esplicitamente l'accesso ai repository di Amazon Linux e Amazon Linux 2. Di seguito è riportato un esempio di policy che nega l'accesso a questi repository:

{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

Configurare le tabelle di routing

Utilizza le impostazioni DNS predefinite per la tabella di routing degli endpoint, in modo che Amazon URLs S3 standard (ad esempiohttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) risolva. Se non utilizzi le impostazioni DNS predefinite, assicurati che quelle utilizzate per specificare le URLs posizioni dei dati nei processi di trasformazione in batch si risolvano configurando le tabelle di routing degli endpoint. Per informazioni sulle tabelle di routing di endpoint VPC, consulta Routing per endpoint gateway nella Guida per l'utente di Amazon VPC.

Configurare il gruppo di sicurezza di VPC

Nella trasformazione in batch distribuita, devi consentire la comunicazione tra diversi container nello stesso processo di trasformazione in batch. A tale scopo, configura una regola per il gruppo di sicurezza che consente connessioni in entrata e in uscita tra i membri dello stesso gruppo di sicurezza. I membri dello stesso gruppo di sicurezza dovrebbero essere in grado di comunicare tra loro attraverso tutte le porte. Per ulteriori informazioni, consulta Regole del gruppo di sicurezza.

Connessione alle risorse al di fuori del VPC

Se configuri il VPC in modo che non abbia accesso a Internet, i processi di trasformazione in batch che utilizzano tale VPC non hanno accesso alle risorse al di fuori del VPC. Se il processo di trasformazione in batch deve accedere a risorse esterne al VPC, fornisci l'accesso con una delle seguenti opzioni:

  • Se il processo di trasformazione in batch richiede l'accesso a un AWS servizio che supporta gli endpoint VPC di interfaccia, crea un endpoint per connetterti a quel servizio. Per un elenco dei servizi che supportano gli endpoint di interfaccia, consulta Endpoint VPC nella Guida per l'utente di Amazon VPC. Per informazioni sulla creazione di un endpoint VPC di interfaccia, consulta Interface VPC Endpoints () nella Amazon VPC User AWS PrivateLink Guide.

  • Se il processo di trasformazione in batch richiede l'accesso a un AWS servizio che non supporta gli endpoint VPC di interfaccia o a una risorsa esterna AWS, crea un gateway NAT e configura i gruppi di sicurezza per consentire le connessioni in uscita. Per informazioni sulla configurazione di un gateway NAT per il VPC, consulta Scenario 2: VPC con sottoreti pubbliche e private (NAT) nella Guida per l'utente di Amazon Virtual Private Cloud.

In questa pagina

Related resources

Amazon SageMaker AI Riferimento API
AWS CLI comandi per Amazon SageMaker AI
SDKs & Strumenti 

Related resources

Amazon SageMaker AI Riferimento API
AWS CLI comandi per Amazon SageMaker AI
SDKs & Strumenti 
PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.