Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Connect to SageMaker AI Within your VPC
Puoi connetterti direttamente a SageMaker API o ad Amazon SageMaker Runtime tramite un endpoint di interfaccia nel tuo cloud privato virtuale (VPC) anziché collegarti tramite Internet. Quando utilizzi un endpoint di VPC interfaccia, la comunicazione tra te VPC e l' SageMaker AI API o Runtime viene condotta in modo completo e sicuro all'interno di una rete. AWS
Connect all' SageMaker AI tramite un endpoint di VPC interfaccia
SageMaker APIE SageMaker AI Runtime supportano gli endpoint di interfaccia Amazon Virtual Private Cloud (AmazonVPC) basati su AWS PrivateLink
L'endpoint dell'VPCinterfaccia si connette VPC direttamente al SageMaker API o SageMaker AI Runtime utilizzando AWS PrivateLink senza utilizzare un gateway Internet, un NAT dispositivo, una VPN connessione o AWS Direct Connect una connessione. VPCNon è necessario che le istanze presenti nel sistema si connettano alla rete Internet pubblica per comunicare con il Runtime SageMaker API o con SageMaker AI.
Puoi creare un endpoint di AWS PrivateLink interfaccia per connetterti ad SageMaker AI o ad SageMaker AI Runtime utilizzando AWS Management Console o AWS Command Line Interface ()AWS CLI. Per istruzioni, consulta Accedere a un AWS servizio utilizzando un VPC endpoint di interfaccia.
Se non hai abilitato un nome host privato del Domain Name System (DNS) per il tuo VPC endpoint, dopo aver creato un VPC endpoint, specifica l'endpoint Internet su o URL AI Runtime. SageMaker API SageMaker Segue un esempio di codice che utilizza AWS CLI i comandi per specificare il parametro. endpoint-url
aws sagemaker list-notebook-instances --endpoint-urlVPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker list-training-jobs --endpoint-urlVPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \ --endpoint-nameEndpoint_Name\ --body "Endpoint_Body" \ --content-type "Content_Type" \Output_File
Se abiliti DNS i nomi host privati per il tuo VPC endpoint, non è necessario specificare l'endpoint URL perché è il nome host predefinito (https://api.sagemaker). Region.amazon.com) si risolve sul tuo endpoint. VPC Analogamente, il nome host predefinito SageMaker di AI Runtime (https://runtime.sagemaker. DNS Region.amazonaws.com) si risolve anche sul tuo endpoint. VPC
The SageMaker API e SageMaker AI Runtime supportano gli VPC endpoint Regioni AWS ovunque siano disponibili VPC sia Amazon che SageMaker AI. SageMaker L'intelligenza artificiale supporta l'effettuazione di chiamate verso tutto ciò che è all'Operationsinterno del tuoVPC. Se usi il AuthorizedUrl
CreatePresignedNotebookInstanceUrlcomando, il tuo traffico passerà alla rete Internet pubblica. Non è possibile utilizzare solo un VPC endpoint per accedere al prefirmatoURL, la richiesta deve passare attraverso il gateway Internet.
Per impostazione predefinita, gli utenti possono condividere il preimpostato con persone esterne URL alla rete aziendale. Per una maggiore sicurezza, è necessario aggiungere IAM le autorizzazioni per limitarne l'utilizzo URL solo all'interno della rete. Per informazioni sulle IAM autorizzazioni, consulta How AWS PrivateLink works with. IAM
Nota
Quando si configura un endpoint di VPC interfaccia per il servizio SageMaker AI Runtime (https://runtime.sagemaker. Region
Per ulteriori informazioni AWS PrivateLink, consulta la AWS PrivateLink documentazione. Consulta la sezione AWS PrivateLink Prezzi
Utilizzare la SageMaker formazione e l'hosting con risorse interne VPC
SageMaker L'intelligenza artificiale utilizza il tuo ruolo di esecuzione per scaricare e caricare informazioni da un bucket Amazon S3 e Amazon Elastic Container Registry (AmazonECR), indipendentemente dal tuo contenitore di addestramento o inferenza. Se disponi di risorse che si trovano all'interno del tuoVPC, puoi comunque concedere all' SageMaker IA l'accesso a tali risorse. Le sezioni seguenti spiegano come rendere le risorse disponibili all' SageMaker IA con o senza isolamento della rete.
Senza isolamento di rete abilitato
Se non hai impostato l'isolamento della rete nel tuo lavoro o modello di formazione, l' SageMaker IA può accedere alle risorse utilizzando uno dei seguenti metodi.
-
SageMaker i contenitori di formazione e di inferenza distribuiti possono accedere a Internet per impostazione predefinita. SageMaker I container di intelligenza artificiale sono in grado di accedere a servizi e risorse esterne sulla rete Internet pubblica come parte dei carichi di lavoro di formazione e inferenza. SageMaker I contenitori di intelligenza artificiale non sono in grado di accedere alle risorse interne VPC senza una VPC configurazione, come mostrato nella figura seguente.
-
Utilizza una VPC configurazione per comunicare con le risorse interne VPC tramite un'interfaccia di rete elastica (ENI). La comunicazione tra il contenitore e le risorse presenti VPC avviene in modo sicuro all'interno VPC della rete, come illustrato nella figura seguente. In questo caso, gestisci l'accesso di rete alle tue VPC risorse e a Internet.
Con isolamento di rete
Se utilizzi l'isolamento della rete, il contenitore SageMaker AI non può comunicare con le risorse interne VPC né effettuare chiamate di rete, come mostrato nella figura seguente. Se fornisci una VPC configurazione, le operazioni di download e caricamento verranno eseguite tramite il tuo. VPC Per ulteriori informazioni sull'hosting e sulla formazione con isolamento della rete durante l'utilizzo di unVPC, consultaIsolamento di rete.
Crea una policy VPC sugli endpoint per l'IA SageMaker
Puoi creare una policy per Amazon VPC endpoints for SageMaker AI per specificare quanto segue:
-
Il principale che può eseguire azioni.
-
Le azioni che possono essere eseguite.
-
Le risorse sui cui si possono eseguire azioni.
Per ulteriori informazioni, consulta Controlling Access to Services with VPC Endpoints nella Amazon VPC User Guide.
Nota
VPCle politiche degli endpoint non sono supportate per gli endpoint di runtime SageMaker AI del Federal Information Processing Standard (FIPS) per runtime_InvokeEndpoint.
L'esempio seguente di policy VPC sugli endpoint specifica che tutti gli utenti che hanno accesso all'endpoint di VPC interfaccia sono autorizzati a richiamare l'endpoint ospitato dall'IA denominato. SageMaker myEndpoint
{ "Statement": [ { "Action": "sagemaker:InvokeEndpoint", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint", "Principal": "*" } ] }
In questo esempio, viene rifiutato quanto segue:
-
Altre SageMaker API azioni, come e.
sagemaker:CreateEndpointsagemaker:CreateTrainingJob -
Invocare endpoint ospitati da SageMaker AI diversi da.
myEndpoint
Nota
In questo esempio, gli utenti possono comunque intraprendere altre SageMaker API azioni dall'esterno di. VPC Per informazioni su come limitare API le chiamate a quelle provenienti dall'interno diVPC, vedereControlla l'accesso all' SageMaker IA API utilizzando policy basate sull'identità.
Crea una policy VPC sugli endpoint per Amazon SageMaker Feature Store
Per creare un VPC Endpoint for Amazon SageMaker Feature Store, utilizza il seguente modello di endpoint, sostituendo il tuo e: VPC_Endpoint_ID.api Region
VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com
Connect la tua rete privata alla tua VPC
Per chiamare SageMaker API and SageMaker AI Runtime tramite il tuoVPC, devi connetterti da un'istanza che si trova all'interno di VPC o connettere la tua rete privata alla tua VPC utilizzando un AWS Virtual Private Network (AWS VPN) o AWS Direct Connect. Per informazioni su AWS VPN, consulta VPNConnections nella Amazon Virtual Private Cloud User Guide. Per informazioni su AWS Direct Connect, vedere Creazione di una connessione nella Guida per l'utente di AWS Direct Connect.
