Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Offri SageMaker ai lavori di compilazione AI l'accesso alle risorse nel tuo Amazon VPC

PDF
RSS
Modalità Focus
Offri SageMaker ai lavori di compilazione AI l'accesso alle risorse nel tuo Amazon VPC - Amazon SageMaker AI
Configurazione di un processo di compilazione per l'accesso ad Amazon VPCConfigura il tuo VPC privato per SageMaker la compilazione AI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Nota

Per i processi di compilazione, puoi configurare solo le sottoreti con un VPC con tenancy predefinita in cui il processo viene eseguito su hardware condiviso. Per ulteriori informazioni sull'attributo tenancy per VPCs, consulta Dedicated Instances.

Configurazione di un processo di compilazione per l'accesso ad Amazon VPC

Per specificare sottoreti e gruppi di sicurezza nel tuo VPC privato, usa il parametro VpcConfig request dell'CreateCompilationJobAPI o fornisci queste informazioni quando crei un lavoro di compilazione nella console AI. SageMaker SageMaker AI Neo utilizza queste informazioni per creare interfacce di rete e collegarle ai tuoi lavori di compilazione. Le interfacce di rete forniscono processi di compilazione con una connessione di rete all'interno del tuo VPC che non è connesso a Internet. Consentono anche al processo di compilazione di connettersi alle risorse nel tuo VPC privato. Di seguito viene mostrato un esempio del parametro VpcConfig che includi nella tua chiamata a CreateCompilationJob:

VpcConfig: {"Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

Configura il tuo VPC privato per SageMaker la compilazione AI

Quando configuri il VPC privato per i SageMaker tuoi lavori di compilazione AI, utilizza le seguenti linee guida. Per informazioni sulla configurazione di un VPC, consulta Working with VPCs and Subnet nella Amazon VPC User Guide.

Verificare che le sottoreti abbiano abbastanza indirizzi IP

Le sottoreti del tuo VPC devono avere almeno due indirizzi IP privati per ogni istanza in un processo di compilazione. Per ulteriori informazioni, consulta VPC and Subnet Sizing nella IPv4 Amazon VPC User Guide.

Creazione di un endpoint VPC Amazon S3

Se configuri il tuo VPC per bloccare l'accesso a Internet, SageMaker Neo non può connettersi ai bucket Amazon S3 che contengono i tuoi modelli a meno che non crei un endpoint VPC che consenta l'accesso. Creando un endpoint VPC, consenti ai tuoi processi di compilazione SageMaker Neo di accedere ai bucket in cui memorizzi i dati e gli artefatti del modello. Ti consigliamo inoltre di creare una policy personalizzata che consente l'accesso ai tuoi bucket S3 solo alle richieste dal tuo VPC privato. Per ulteriori informazioni, consulta Endpoints for Amazon S3.

Per creare un endpoint VPC S3

  1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, selezionare Endpoints (Endpoint) e scegliere Create Endpoint (Crea endpoint).

  3. Per Service Name, cerca com.amazonaws. region.s3, dove region è il nome della regione in cui risiede il tuo VPC.

  4. Scegli il tipo di Gateway.

  5. In VPC scegliere il VPC da utilizzare per l'endpoint.

  6. In Configure route tables (Configura tabelle di routing), selezionare le tabelle di routing che devono essere utilizzate dall'endpoint. Il servizio VPC aggiunge automaticamente una route a ogni tabella di routing selezionata che indirizza il traffico S3 al nuovo endpoint.

  7. In Policy scegliere Full Access (Accesso completo) per consentire l'accesso completo al servizio S3 da parte degli utenti o servizi all'interno del VPC. Scegliere Custom (Personalizzato) per limitare ulteriormente l'accesso. Per informazioni, consultare Usare una policy di endpoint personalizzata per limitare l'accesso a S3.

Usare una policy di endpoint personalizzata per limitare l'accesso a S3

La policy di endpoint predefinita consente l'accesso completo a S3 da parte degli utenti o servizi nel tuo VPC. Per limitare ulteriormente l'accesso a S3, crea una policy di endpoint personalizzata. Per ulteriori informazioni, consulta Utilizzo delle policy dell'endpoint per Amazon S3. Puoi anche possibile utilizzare una policy di bucket per limitare l'accesso ai bucket S3 al solo traffico proveniente dal tuo Amazon VPC. Per ulteriori informazioni, consulta Utilizzo delle policy bucket Amazon S3. Di seguito è riportata una policy personalizzata di esempio.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::your-sample-bucket",
                "arn:aws:s3:::your-sample-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "aws:SourceVpce": [
                        "vpce-01234567890123456"
                    ]
                }
            }
        }
    ]
}

Aggiunta a policy IAM personalizzate di autorizzazioni per il processo di compilazione in esecuzione in Amazon VPC

La policy gestita SageMakerFullAccess include le autorizzazioni per l'utilizzo di modelli configurati per l'accesso ad Amazon VPC tramite un endpoint. Queste autorizzazioni consentono a SageMaker Neo di creare un'interfaccia di rete elastica e collegarla a un lavoro di compilazione in esecuzione su un Amazon VPC. Se utilizzi la tua policy IAM, per utilizzare i modelli configurati per l'accesso ad Amazon VPC devi aggiungere ad essa le seguenti autorizzazioni.

{"Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}

Per ulteriori informazioni sulla policy gestita SageMakerFullAccess, consultare AWS politica gestita: AmazonSageMakerFullAccess.

Configurare le tabelle di routing

Utilizza le impostazioni DNS predefinite per la tabella di routing degli endpoint, in modo che Amazon URLs S3 standard (ad esempiohttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) risolva. Se non utilizzi le impostazioni DNS predefinite, assicurati che quelle utilizzate per specificare le URLs posizioni dei dati nei processi di compilazione si risolvano configurando le tabelle di routing degli endpoint. Per informazioni sulle tabelle di routing di endpoint VPC, consulta Routing per endpoint gateway nella Guida per l'utente di Amazon VPC.

Configurare il gruppo di sicurezza di VPC

Nel gruppo di sicurezza per il processo di compilazione, devi consentire la comunicazione in uscita verso gli endpoint Amazon VPC di Amazon S3 e gli intervalli CIDR della sottorete utilizzati per il processo di compilazione. Per informazioni, consulta Regole del gruppo di sicurezza e Controllo degli accessi ai servizi con endpoint VPC.

In questa pagina

Related resources

Amazon SageMaker AI Riferimento API
AWS CLI comandi per Amazon SageMaker AI
SDKs & Strumenti 

Related resources

Amazon SageMaker AI Riferimento API
AWS CLI comandi per Amazon SageMaker AI
SDKs & Strumenti 
PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.