Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Connettiti all' SageMaker IA all'interno del tuo VPC
Puoi connetterti direttamente all' SageMaker API o ad Amazon SageMaker Runtime tramite un [endpoint di interfaccia](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) nel tuo cloud privato virtuale (VPC) invece di connetterti tramite Internet. Quando utilizzi un endpoint di interfaccia VPC, la comunicazione tra il tuo VPC e l'API SageMaker AI o Runtime viene condotta in modo completo e sicuro all'interno di una rete. AWS
## Connect all' SageMaker AI tramite un endpoint con interfaccia VPC
L' SageMaker API e SageMaker AI Runtime supportano gli endpoint di interfaccia [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) basati su. [AWS PrivateLink](https://aws.amazon.com/privatelink) Ogni endpoint VPC è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) con indirizzi IP privati nelle sottoreti del tuo VPC. Ad esempio, un'applicazione all'interno del tuo VPC comunica con SageMaker AI Runtime. AWS PrivateLink SageMaker AI Runtime a sua volta comunica con l'endpoint SageMaker AI. L'utilizzo ti AWS PrivateLink consente di richiamare il tuo endpoint SageMaker AI dall'interno del tuo VPC, come mostrato nel diagramma seguente.
![\[\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/images/security-vpc-SM.png)
L'endpoint dell'interfaccia VPC collega il tuo VPC direttamente all' SageMaker API o al Runtime SageMaker AI AWS PrivateLink senza utilizzare un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect Non è necessario che le istanze del tuo VPC si connettano alla rete Internet pubblica per comunicare con l'API SageMaker o SageMaker l'AI Runtime.
Puoi creare un endpoint di AWS PrivateLink interfaccia per connetterti ad SageMaker AI o ad SageMaker AI Runtime utilizzando Console di gestione AWS o AWS Command Line Interface ().AWS CLI Per istruzioni, consulta [Accedere a un AWS servizio utilizzando un endpoint VPC di interfaccia](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint).
Se non hai abilitato un nome host DNS (Domain Name System) privato per il tuo endpoint VPC, *dopo aver creato un endpoint VPC, specifica l'URL dell'endpoint* Internet per l'API o AI Runtime. SageMaker SageMaker Segue un esempio di codice che utilizza AWS CLI i comandi per specificare il parametro. `endpoint-url`
```
aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \
--endpoint-name Endpoint_Name \
--body "Endpoint_Body" \
--content-type "Content_Type" \
Output_File
```
Se abiliti i nomi host DNS privati per il tuo endpoint VPC, non è necessario specificare l'URL dell'endpoint perché è il nome host predefinito (https://api.sagemaker). *Region*.amazon.com) si risolve nel tuo endpoint VPC. Analogamente, il nome host DNS predefinito SageMaker di AI Runtime (https://runtime.sagemaker. *Region*.amazonaws.com) si risolve anche sul tuo endpoint VPC.
[L' SageMaker API e SageMaker AI Runtime supportano gli endpoint VPC ovunque siano disponibili Regioni AWS sia Amazon [VPC](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) che AI. SageMaker ](https://docs.aws.amazon.com/general/latest/gr/rande.html#sagemaker_region) SageMaker L'intelligenza artificiale supporta le chiamate verso tutti i suoi dispositivi [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations.html)all'interno del tuo VPC. Se utilizzi `AuthorizedUrl` dal comando [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html), il traffico passerà tramite la rete Internet pubblica. Non puoi utilizzare solo un endpoint VPC per accedere all’URL prefirmato, perché la richiesta deve passare attraverso il gateway Internet.
Per impostazione predefinita, gli utenti possono condividere l’URL prefirmato con persone esterne alla rete aziendale. Per una maggiore sicurezza, è necessario aggiungere le autorizzazioni IAM per limitare l’utilizzo dell’URL solo all’interno della tua rete. Per informazioni sulle autorizzazioni IAM, consulta [How AWS PrivateLink works with](https://docs.aws.amazon.com/vpc/latest/privatelink/security_iam_service-with-iam.html) IAM.
**Nota**
Quando si configura un endpoint di interfaccia VPC per il servizio SageMaker AI Runtime (https://runtime.sagemaker. `Region`.amazonaws.com), devi assicurarti che l'endpoint dell'interfaccia VPC sia attivato nella zona di disponibilità del tuo client affinché la risoluzione DNS privata funzioni. Altrimenti, potresti riscontrare errori DNS durante il tentativo di risolvere l'URL.
[Per ulteriori informazioni, consulta la documentazione. AWS PrivateLinkAWS PrivateLink](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink) Fai riferimento a [Prezzi di AWS PrivateLink](https://aws.amazon.com/privatelink/pricing/) per il prezzo di endpoint VPC. Per ulteriori informazioni su VPC ed endpoint, consulta [Amazon VPC](https://aws.amazon.com/vpc/). Per informazioni su come utilizzare le AWS Identity and Access Management policy basate sull'identità per limitare l'accesso all' SageMaker API e all' SageMaker AI Runtime, consulta. [Controlla l'accesso all'API SageMaker AI utilizzando politiche basate sull'identità](security_iam_id-based-policy-examples.md#api-access-policy)
## Utilizzo della SageMaker formazione e dell'hosting con risorse all'interno del tuo VPC
SageMaker L'intelligenza artificiale utilizza il tuo ruolo di esecuzione per scaricare e caricare informazioni da un bucket Amazon S3 e Amazon Elastic Container Registry (Amazon ECR), indipendentemente dal tuo contenitore di addestramento o inferenza. Se disponi di risorse che si trovano all'interno del tuo VPC, puoi comunque concedere all' SageMaker IA l'accesso a tali risorse. Le sezioni seguenti spiegano come rendere le risorse disponibili all' SageMaker IA con o senza isolamento della rete.
### Senza isolamento di rete abilitato
Se non hai impostato l'isolamento della rete nel tuo lavoro o modello di formazione, l' SageMaker IA può accedere alle risorse utilizzando uno dei seguenti metodi.
+ SageMaker i contenitori di formazione e di inferenza distribuiti possono accedere a Internet per impostazione predefinita. SageMaker I container di intelligenza artificiale sono in grado di accedere a servizi e risorse esterne sulla rete Internet pubblica come parte dei carichi di lavoro di formazione e inferenza. SageMaker I container AI non sono in grado di accedere alle risorse all'interno del tuo VPC senza una configurazione VPC, come mostrato nella figura seguente.
![\[\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/images/security-vpc-no-config.png)
+ Utilizza la configurazione di un VPC per comunicare con le risorse presenti all'interno del tuo VPC tramite un'interfaccia di rete elastica (ENI). La comunicazione tra il container e le risorse del tuo VPC avviene in modo sicuro all'interno della tua rete VPC, come mostrato nella figura seguente. In questo caso, gestisci l'accesso in rete alle risorse del tuo VPC e a Internet.
![\[\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/images/security-vpc-config.png)
### Con isolamento di rete
Se utilizzi l'isolamento della rete, il contenitore SageMaker AI non può comunicare con le risorse all'interno del tuo VPC o effettuare chiamate di rete, come mostrato nella figura seguente. Se fornisci la configurazione di un VPC, le operazioni di scaricamento e caricamento verranno eseguite tramite il tuo VPC. Per ulteriori informazioni sull'hosting e sull'addestramento con isolamento di rete durante l'utilizzo di un VPC, consulta [Isolamento di rete](mkt-algo-model-internet-free.md#mkt-algo-model-internet-free-isolation).
![\[\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/images/security-network-isolation-no-config.png)
## Crea una policy sugli endpoint VPC per l'IA SageMaker
Puoi creare una policy per gli endpoint Amazon VPC per l' SageMaker intelligenza artificiale per specificare quanto segue:
+ Il principale che può eseguire azioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire operazioni.
Per ulteriori informazioni, consultare [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) nella *Guida per l'utente di Amazon VPC*.
**Nota**
Le policy degli endpoint VPC non sono supportate per gli endpoint di runtime SageMaker AI del Federal Information Processing Standard (FIPS) per. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html)
Il seguente esempio di politica degli endpoint VPC specifica che tutti gli utenti che hanno accesso all'endpoint dell'interfaccia VPC possono richiamare l'endpoint ospitato dall'IA denominato. SageMaker `myEndpoint`
```
{
"Statement": [
{
"Action": "sagemaker:InvokeEndpoint",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
"Principal": "*"
}
]
}
```
In questo esempio, viene rifiutato quanto segue:
+ Altre SageMaker azioni API, come e. `sagemaker:CreateEndpoint` `sagemaker:CreateTrainingJob`
+ Invocare endpoint ospitati da SageMaker AI diversi da. `myEndpoint`
**Nota**
In questo esempio, gli utenti possono comunque eseguire altre azioni SageMaker API dall'esterno del VPC. Per informazioni su come limitare chiamate API per gli utenti interni al VPC, consulta [Controlla l'accesso all'API SageMaker AI utilizzando politiche basate sull'identità](security_iam_id-based-policy-examples.md#api-access-policy).
## Crea una policy sugli endpoint VPC per Amazon Feature Store SageMaker
Per creare un endpoint VPC per Amazon SageMaker Feature Store, utilizza il seguente modello di endpoint, sostituendo il tuo e: *VPC\$1Endpoint\$1ID.api* *Region*
`VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com`
## Connessione della rete privata al VPC
Per chiamare l' SageMaker API e SageMaker AI Runtime tramite il tuo VPC, devi connetterti da un'istanza che si trova all'interno del VPC o connettere la tua rete privata al tuo VPC utilizzando un () o. AWS Virtual Private Network Site-to-Site VPN Direct Connect Per informazioni su Site-to-Site VPN, consulta [Connessioni VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) nella *Guida per l'utente di Amazon Virtual Private Cloud*. Per informazioni su AWS Direct Connect, vedere [Creazione di una connessione](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) nella *Guida per l'utente di AWS Direct Connect*.