Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Connect a SageMaker Within your VPC
Puoi connetterti direttamente a SageMaker API o ad Amazon SageMaker Runtime tramite un endpoint di interfaccia nel tuo cloud privato virtuale (VPC) anziché collegarti tramite Internet. Quando utilizzi un endpoint di VPC interfaccia, la comunicazione tra il tuo VPC e il Runtime SageMaker API o il Runtime viene condotta in modo completo e sicuro all'interno di un AWS rete.
Connect a SageMaker tramite un endpoint di VPC interfaccia
SageMaker APIE SageMaker Runtime supportano gli endpoint di interfaccia Amazon Virtual Private Cloud (AmazonVPC) basati su AWS PrivateLink
L'endpoint VPC dell'interfaccia collega VPC direttamente l'utente al Runtime SageMaker API o SageMaker tramite AWS PrivateLink senza utilizzare un gateway Internet, un NAT dispositivo, VPN una connessione o AWS Direct Connect connessione. VPCNon è necessario che le istanze presenti si connettano alla rete Internet pubblica per comunicare con SageMaker API o SageMaker Runtime.
È possibile creare un AWS PrivateLink endpoint di interfaccia a cui connettersi SageMaker o a SageMaker Runtime utilizzando il AWS Management Console oppure AWS Command Line Interface (AWS CLI). Per istruzioni, consulta Accedere a AWS servizio che utilizza un VPC endpoint di interfaccia.
Se non hai abilitato un nome host privato di Domain Name System (DNS) per il tuo VPC endpoint, dopo aver creato un VPC endpoint, specifica l'endpoint Internet su o URL Runtime. SageMaker API SageMaker Codice di esempio che utilizza AWS CLI Di seguito sono riportati i comandi per specificare il endpoint-url parametro.
aws sagemaker list-notebook-instances --endpoint-urlVPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker list-training-jobs --endpoint-urlVPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \ --endpoint-nameEndpoint_Name\ --body "Endpoint_Body" \ --content-type "Content_Type" \Output_File
Se abiliti DNS i nomi host privati per il tuo VPC endpoint, non è necessario specificare l'endpoint URL perché è il nome host predefinito (https://api.sagemaker).Region.amazon.com) si risolve sul tuo endpoint. VPC Analogamente, il nome host predefinito del Runtime (https://runtime.sagemaker. SageMaker DNSRegion.amazonaws.com) si risolve anche nel tuo endpoint. VPC
Gli endpoint e Runtime supportano tutti gli endpoint SageMaker API SageMaker VPC Regioni AWS dove sono disponibili VPC sia Amazon che SageMakerAres. SageMaker supporta l'effettuazione di chiamate verso tutti i dispositivi Operationsall'interno del tuoVPC. Se usi il AuthorizedUrl
CreatePresignedNotebookInstanceUrlcomando, il tuo traffico passerà alla rete Internet pubblica. Non è possibile utilizzare solo un VPC endpoint per accedere al prefirmatoURL, la richiesta deve passare attraverso il gateway Internet.
Per impostazione predefinita, gli utenti possono condividere il preimpostato con persone esterne URL alla rete aziendale. Per una maggiore sicurezza, è necessario aggiungere IAM le autorizzazioni per limitarne l'utilizzo URL solo all'interno della rete. Per informazioni sulle IAM autorizzazioni, consulta Come AWS PrivateLink funziona con IAM.
Nota
Quando si configura un endpoint di VPC interfaccia per il servizio SageMaker Runtime (https://runtime.sagemaker. Region
Per ulteriori informazioni su AWS PrivateLink, vedi il AWS PrivateLink documentazione. Fare riferimento a AWS PrivateLink Prezzi
Utilizzo SageMaker della formazione e dell'hosting con risorse interne VPC
SageMaker utilizza il tuo ruolo di esecuzione per scaricare e caricare informazioni da un bucket Amazon S3 e Amazon Elastic Container Registry (AmazonECR), indipendentemente dal tuo contenitore di addestramento o inferenza. Se disponi di risorse che si trovano all'interno del tuoVPC, puoi comunque concedere SageMaker l'accesso a tali risorse. Le sezioni seguenti spiegano come rendere disponibili le risorse SageMaker con o senza isolamento di rete.
Senza isolamento di rete abilitato
Se non hai impostato l'isolamento della rete nel tuo processo o modello di formazione, SageMaker puoi accedere alle risorse utilizzando uno dei seguenti metodi.
-
SageMaker i contenitori di formazione e di inferenza distribuiti possono accedere a Internet per impostazione predefinita. SageMaker i container sono in grado di accedere a servizi e risorse esterni sulla rete Internet pubblica come parte dei carichi di lavoro di formazione e inferenza. SageMaker i contenitori non sono in grado di accedere alle risorse interne VPC senza una VPC configurazione, come illustrato nella figura seguente.
-
Utilizza una VPC configurazione per comunicare con le risorse interne VPC tramite un'interfaccia di rete elastica (ENI). La comunicazione tra il contenitore e le risorse presenti VPC avviene in modo sicuro all'interno VPC della rete, come illustrato nella figura seguente. In questo caso, gestisci l'accesso di rete alle tue VPC risorse e a Internet.
Con isolamento di rete
Se si utilizza l'isolamento della rete, il SageMaker contenitore non può comunicare con le risorse interne VPC né effettuare chiamate di rete, come illustrato nella figura seguente. Se fornite una VPC configurazione, le operazioni di download e caricamento verranno eseguite tramite il vostro. VPC Per ulteriori informazioni sull'hosting e sulla formazione con isolamento della rete durante l'utilizzo di unVPC, consultaIsolamento di rete.
Crea una policy VPC sugli endpoint per SageMaker
Puoi creare una policy per gli VPC endpoint Amazon SageMaker per specificare quanto segue:
-
Il principale che può eseguire azioni.
-
Le azioni che possono essere eseguite.
-
Le risorse sui cui si possono eseguire azioni.
Per ulteriori informazioni, consulta Controlling Access to Services with VPC Endpoints nella Amazon VPC User Guide.
Nota
VPCle politiche degli endpoint non sono supportate per gli endpoint di SageMaker runtime Federal Information Processing Standard (FIPS) per runtime_InvokeEndpoint.
L'esempio seguente di policy VPC sugli endpoint specifica che tutti gli utenti che hanno accesso all'endpoint di VPC interfaccia sono autorizzati a richiamare l'endpoint ospitato denominato. SageMaker myEndpoint
{ "Statement": [ { "Action": "sagemaker:InvokeEndpoint", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint", "Principal": "*" } ] }
In questo esempio, viene rifiutato quanto segue:
-
Altre SageMaker API azioni, come e.
sagemaker:CreateEndpointsagemaker:CreateTrainingJob -
Richiamo di endpoint SageMaker ospitati diversi da.
myEndpoint
Nota
In questo esempio, gli utenti possono comunque intraprendere altre SageMaker API azioni dall'esterno di. VPC Per informazioni su come limitare API le chiamate a quelle provenienti dall'interno diVPC, vedereControlla l'accesso a SageMaker API utilizzando policy basate sull'identità.
Crea una policy VPC sugli endpoint per Amazon SageMaker Feature Store
Per creare un VPC Endpoint for Amazon SageMaker Feature Store, usa il seguente modello di endpoint, sostituendo il tuo VPC_Endpoint_ID.api e Region:
VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com
Connect la tua rete privata alla tua VPC
Per chiamare SageMaker API and SageMaker Runtime tramite il tuoVPC, devi connetterti da un'istanza che si trova all'interno di VPC o connettere la tua rete privata alla tua VPC utilizzando un AWS Virtual Private Network (AWS VPN) o AWS Direct Connect. Per informazioni su AWS VPN, consulta VPNConnessioni nella Guida per l'utente di Amazon Virtual Private Cloud. Per informazioni su AWS Direct Connect, vedere Creazione di una connessione nella AWS Guida per l'utente di Direct Connect.
