Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Offri a SageMaker Compilation Jobs l'accesso alle risorse del tuo Amazon VPC
Nota
Per i lavori di compilazione, puoi configurare solo sottoreti con una tenancy predefinita VPC in cui il lavoro viene eseguito su hardware condiviso. Per ulteriori informazioni sull'attributo di tenancy per, consulta Dedicated InstancesVPCs.
Configurazione di un Job di compilazione per Amazon Access VPC
Per specificare sottoreti e gruppi di sicurezza in modalità privataVPC, utilizza il parametro VpcConfig
request di o fornisci queste informazioni quando crei un processo di compilazione nella console. CreateCompilationJob
API SageMaker SageMaker Neo utilizza queste informazioni per creare interfacce di rete e collegarle ai tuoi lavori di compilazione. Le interfacce di rete forniscono ai lavori di compilazione una connessione di rete interna VPC che non è connessa a Internet. Consentono inoltre al processo di compilazione di connettersi alle risorse in privato. VPC Di seguito viene mostrato un esempio del parametro VpcConfig
che includi nella tua chiamata a CreateCompilationJob
:
VpcConfig: {"Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] }
Configura Your Private VPC per la SageMaker compilazione
Quando configuri il privato VPC per i tuoi lavori di SageMaker compilazione, utilizza le seguenti linee guida. Per informazioni sulla configurazione di unVPC, consulta Working with VPCs and Subnet nella Amazon VPC User Guide.
Argomenti
Verificare che le sottoreti abbiano abbastanza indirizzi IP
Le tue VPC sottoreti devono avere almeno due indirizzi IP privati per ogni istanza in un processo di compilazione. Per ulteriori informazioni, consulta la sezione VPCdedicata al dimensionamento delle sottoreti IPv4 nella Amazon VPC User Guide.
Crea un endpoint Amazon S3 VPC
Se configuri VPC per bloccare l'accesso a Internet, SageMaker Neo non può connettersi ai bucket Amazon S3 che contengono i tuoi modelli a meno che non crei un VPC endpoint che consenta l'accesso. Creando un VPC endpoint, consenti ai tuoi processi di compilazione SageMaker Neo di accedere ai bucket in cui memorizzi i dati e gli artefatti del modello. Ti consigliamo anche di creare una policy personalizzata che consenta solo alle richieste provenienti da utenti privati di accedere VPC ai tuoi bucket S3. Per ulteriori informazioni, consulta Endpoints for Amazon S3.
Per creare un endpoint S3: VPC
-
Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel riquadro di navigazione, selezionare Endpoints (Endpoint) e scegliere Create Endpoint (Crea endpoint).
-
Per Service Name, cerca com.amazonaws.
region
.s3, doveregion
è il nome della regione in cui risiediVPC. -
Scegli il tipo di Gateway.
-
Per VPC, scegli VPC quello che vuoi usare per questo endpoint.
-
In Configure route tables (Configura tabelle di routing), selezionare le tabelle di routing che devono essere utilizzate dall'endpoint. Il VPC servizio aggiunge automaticamente un percorso a ogni tabella di rotte selezionata che indirizza il traffico S3 verso il nuovo endpoint.
-
Per Policy, scegli Accesso completo per consentire l'accesso completo al servizio S3 da parte di qualsiasi utente o servizio all'interno di. VPC Scegliere Custom (Personalizzato) per limitare ulteriormente l'accesso. Per informazioni, consultare Usare una policy di endpoint personalizzata per limitare l'accesso a S3.
Usare una policy di endpoint personalizzata per limitare l'accesso a S3
La policy predefinita per gli endpoint consente l'accesso completo a S3 per qualsiasi utente o servizio del tuo. VPC Per limitare ulteriormente l'accesso a S3, crea una policy di endpoint personalizzata. Per ulteriori informazioni, consulta Utilizzo delle policy dell'endpoint per Amazon S3. Puoi anche utilizzare una policy sui bucket per limitare l'accesso ai tuoi bucket S3 solo al traffico proveniente dal tuo Amazon. VPC Per ulteriori informazioni, consulta Utilizzo delle policy bucket Amazon S3. Di seguito è riportata una policy personalizzata di esempio.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": "s3:GetObject", "Resource": [ "
arn:aws:s3:::your-sample-bucket
", "arn:aws:s3:::your-sample-bucket/*
" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": [ "vpce-01234567890123456" ] } } } ] }
Aggiungi le autorizzazioni per il lavoro di compilazione in esecuzione in Amazon VPC alle politiche personalizzate IAM
La policy SageMakerFullAccess
gestita include le autorizzazioni necessarie per utilizzare i modelli configurati per Amazon VPC Access con un endpoint. Queste autorizzazioni consentono a SageMaker Neo di creare un'interfaccia di rete elastica e collegarla a un processo di compilazione in esecuzione su Amazon. VPC Se utilizzi la tua IAM politica, devi aggiungere le seguenti autorizzazioni a tale politica per utilizzare i modelli configurati per Amazon VPC Access.
{"Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "ec2:DescribeVpcEndpoints", "ec2:DescribeDhcpOptions", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "*" } ] }
Per ulteriori informazioni sulla policy gestita SageMakerFullAccess
, consultare AWS politica gestita: AmazonSageMakerFullAccess.
Configurare le tabelle di routing
Utilizza DNS le impostazioni predefinite per la tabella di routing degli endpoint, in modo che Amazon URLs S3 standard (ad esempiohttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket
) si risolva. Se non utilizzi DNS le impostazioni predefinite, assicurati che quelle utilizzate per specificare le URLs posizioni dei dati nei processi di compilazione si risolvano configurando le tabelle di routing degli endpoint. Per informazioni sulle tabelle di routing VPC degli endpoint, consulta Routing for Gateway Endpoints nella Amazon VPC User Guide.
Configura il gruppo di sicurezza VPC
Nel gruppo di sicurezza per il processo di compilazione, devi consentire la comunicazione in uscita verso gli endpoint VPC Amazon S3 e gli intervalli di CIDR sottoreti utilizzati per il processo di compilazione. Per informazioni, consulta Regole dei gruppi di sicurezza e controllo dell'accesso ai servizi con gli VPC endpoint Amazon.