Offri agli endpoint SageMaker ospitati l'accesso alle risorse nel tuo Amazon VPC - Amazon SageMaker
Configurazione di un modello per Amazon VPC AccessConfigura Your Private for Hosting VPC SageMaker

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Offri agli endpoint SageMaker ospitati l'accesso alle risorse nel tuo Amazon VPC

Configurazione di un modello per Amazon VPC Access

Per specificare sottoreti e gruppi di sicurezza in modalità privataVPC, utilizza il parametro VpcConfig request di o fornisci queste informazioni quando crei un modello nella SageMaker console. CreateModelAPI SageMaker utilizza queste informazioni per creare interfacce di rete e collegarle ai contenitori del modello. Le interfacce di rete forniscono ai contenitori del modello una connessione di rete interna VPC che non è connessa a Internet. Consentono inoltre al modello di connettersi alle risorse in privatoVPC.

Nota

È necessario creare almeno due sottoreti in diverse zone di disponibilità nel sistema privatoVPC, anche se si dispone di una sola istanza di hosting.

Di seguito viene mostrato un esempio del parametro VpcConfig che includi nella tua chiamata a CreateModel:

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }

Configura Your Private for Hosting VPC SageMaker

Quando configuri il privato VPC per i tuoi SageMaker modelli, utilizza le seguenti linee guida. Per informazioni sulla configurazione di unVPC, consulta Working with VPCs and Subnet nella Amazon VPC User Guide.

Verificare che le sottoreti abbiano abbastanza indirizzi IP

Le istanze di formazione che non utilizzano un Elastic Fabric Adapter (EFA) devono avere almeno 2 indirizzi IP privati. Le istanze di formazione che utilizzano un EFA devono avere almeno 5 indirizzi IP privati. Per ulteriori informazioni, consulta Indirizzi IP multipli nella Amazon EC2 User Guide.

Crea un endpoint Amazon S3 VPC

Se configuri i container modello VPC in modo che non abbiano accesso a Internet, non possono connettersi ai bucket Amazon S3 che contengono i tuoi dati a meno che non crei un VPC endpoint che consenta l'accesso. Creando un VPC endpoint, consenti ai contenitori del modello di accedere ai bucket in cui archivi i dati e gli artefatti del modello. Ti consigliamo inoltre di creare una policy personalizzata che consenta solo alle richieste provenienti da utenti privati di accedere VPC ai tuoi bucket S3. Per ulteriori informazioni, consulta Endpoints for Amazon S3.

Per creare un endpoint Amazon S3: VPC

  1. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, selezionare Endpoints (Endpoint) e scegliere Create Endpoint (Crea endpoint).

  3. Per Service Name, scegli com.amazonaws.region.s3, dove region è il nome della AWS regione in cui risiediVPC.

  4. Per VPC, scegli quello VPC che vuoi usare per questo endpoint.

  5. Alla voce Configura tabelle di routing, scegli le tabelle di routing che saranno utilizzate dall'endpoint. Il VPC servizio aggiunge automaticamente un percorso a ogni tabella di routing scelta che indirizza il traffico Amazon S3 verso il nuovo endpoint.

  6. Per Policy, scegli Accesso completo per consentire l'accesso completo al servizio Amazon S3 da parte di qualsiasi utente o servizio all'interno di. VPC Scegliere Custom (Personalizzato) per limitare ulteriormente l'accesso. Per ulteriori informazioni, consulta Utilizzo di una policy di endpoint personalizzata per limitare l'accesso ad Amazon S3.

Utilizzo di una policy di endpoint personalizzata per limitare l'accesso ad Amazon S3

La policy predefinita per gli endpoint consente l'accesso completo ad Amazon Simple Storage Service (Amazon S3) per qualsiasi utente o servizio del tuo paese. VPC Per limitare ulteriormente l'accesso ad Amazon S3, crea una policy di endpoint personalizzata. Per ulteriori informazioni, consulta Utilizzo delle policy dell'endpoint per Amazon S3.

Puoi anche utilizzare una policy sui bucket per limitare l'accesso ai tuoi bucket S3 solo al traffico proveniente dal tuo Amazon. VPC Per ulteriori informazioni, consulta Utilizzo delle policy bucket Amazon S3.

Limitare l'installazione dei pacchetti nel container del modello con una policy dell'endpoint personalizzata

La policy di endpoint predefinita permette agli utenti di installare pacchetti dai repository di Amazon Linux e Amazon Linux 2 nel container di modello. Per impedire agli utenti di installare pacchetti da tali repository, creare una policy dell'endpoint personalizzata che neghi esplicitamente l'accesso ai repository di Amazon Linux e Amazon Linux 2. Di seguito è riportato un esempio di policy che nega l'accesso a questi repository:

{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

Aggiungi le autorizzazioni per Endpoint Access for Containers Running in a alle politiche personalizzate VPC IAM

La policy SageMakerFullAccess gestita include le autorizzazioni necessarie per utilizzare i modelli configurati per Amazon VPC Access con un endpoint. Queste autorizzazioni consentono di SageMaker creare un'interfaccia di rete elastica e collegarla a contenitori modello in esecuzione in unVPC. Se si utilizza una IAM politica personalizzata, è necessario aggiungere le seguenti autorizzazioni a tale politica per utilizzare i modelli configurati per VPC l'accesso. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface"
            ],
            "Resource": "*"
        }
    ]
}

Per ulteriori informazioni sulla policy gestita SageMakerFullAccess, consultare AWS politica gestita: AmazonSageMakerFullAccess.

Configurare le tabelle di routing

Utilizza DNS le impostazioni predefinite per la tabella di routing degli endpoint, in modo che Amazon URLs S3 standard (ad esempiohttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) si risolva. Se non utilizzi DNS impostazioni predefinite, assicurati che quelle URLs che usi per specificare le posizioni dei dati nei tuoi modelli si risolvano configurando le tabelle di routing degli endpoint. Per informazioni sulle tabelle di routing VPC degli endpoint, consulta Routing for Gateway Endpoints nella Amazon VPC User Guide.

Connettiti a risorse esterne al tuo VPC

Se configuri il tuo VPC in modo che non abbia accesso a Internet, i modelli che lo utilizzano VPC non hanno accesso a risorse esterne al tuoVPC. Se il tuo modello necessita dell'accesso a risorse esterne al tuoVPC, fornisci l'accesso con una delle seguenti opzioni:

  • Se il tuo modello necessita dell'accesso a un AWS servizio che supporta gli VPC endpoint di interfaccia, crea un endpoint per connetterti a quel servizio. Per un elenco di servizi che supportano gli endpoint di interfaccia, consulta VPCEndpoints nella Amazon VPC User Guide. Per informazioni sulla creazione di un VPC endpoint di interfaccia, consulta Interface VPC Endpoints (AWS PrivateLink) nella Amazon VPC User Guide.

  • Se il tuo modello necessita dell'accesso a un AWS servizio che non supporta gli VPC endpoint di interfaccia o a una risorsa esterna AWS, crea un NAT gateway e configura i gruppi di sicurezza per consentire le connessioni in uscita. Per informazioni sulla configurazione di un NAT gateway per il tuoVPC, consulta Scenario 2: VPC with Public and Private Subnet (NAT) nella Amazon Virtual Private Cloud User Guide.