배치 변환 작업에 Amazon VPC의 리소스에 대한 액세스 권한 부여

포커스 모드

배치 변환 작업에 Amazon VPC의 리소스에 대한 액세스 권한 부여 - Amazon SageMaker AI

Amazon VPC 액세스를 위한 배치 변환 작업 구성 SageMaker AI 배치 변환을 위한 프라이빗 VPC 구성

데이터 및 배치 변환 작업에 대한 액세스를 제어하려면 퍼블릭 인터넷을 통해 작업에 액세스할 수 없도록 프라이빗 VPC를 생성하고 구성하는 것이 좋습니다. 모델을 생성할 때 서브넷 및 보안 그룹을 지정함으로써 프라이빗 VPC 구성을 지정합니다. 그런 다음 배치 변환 작업을 만들 때 동일한 모델을 지정합니다. 서브넷 및 보안 그룹을 지정하면 SageMaker AI는 서브넷 중 하나에 있는 보안 그룹과 연결된 탄력적 네트워크 인터페이스를 생성합니다. 네트워크 인터페이스를 통해 모델 컨테이너를 VPC의 리소스에 연결할 수 있습니다. 네트워크 인터페이스에 대한 자세한 내용은 Amazon VPC 사용 설명서의 탄력적 네트워크 인터페이스를 참조하세요.

이 문서에서는 배치 변환 작업을 위해 Amazon VPC 구성을 추가하는 방법에 대해 설명합니다.

Amazon VPC 액세스를 위한 배치 변환 작업 구성

프라이빗 VPC에서 서브넷 및 보안 그룹을 지정하려면 CreateModel API의 VpcConfig 요청 파라미터를 사용하거나 SageMaker AI 콘솔에서 모델을 생성할 때이 정보를 제공합니다. 그런 다음 CreateTransformJob API의 ModelName 요청 파라미터 또는 SageMaker AI 콘솔에서 변환 작업을 생성할 때 모델 이름 필드에 동일한 모델을 지정합니다. SageMaker AI는이 정보를 사용하여 네트워크 인터페이스를 생성하고 모델 컨테이너에 연결합니다. 네트워크 인터페이스는 모델 컨테이너에 인터넷에 연결되지 않은 VPC 내의 네트워크 연결을 제공합니다. 또한 변환 작업을 프라이빗 VPC의 리소스에 연결할 수 있게 해 줍니다.

다음은 CreateModel작업 호출에 포함할 VpcConfig파라미터의 예입니다.


VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

CreateModel API 작업을 사용하여 모델을 생성하는 경우 모델을 생성하는 데 사용하는 IAM 실행 역할에는 프라이빗 VPC에 필요한 다음 권한을 포함하여 CreateModel API: 실행 역할 권한에 설명된 권한이 포함되어야 합니다.

콘솔에서 모델을 생성할 때 모델 설정 섹션에서 새 역할 생성을 선택하면 역할을 생성하는 데 사용되는 AmazonSageMakerFullAccess 정책에 이미 이러한 권한이 포함되어 있습니다. 사용자 지정 IAM 역할 ARN 입력 또는 기존 역할 사용을 선택하는 경우 지정한 역할 ARN에는 다음 권한이 있는 실행 정책이 연결되어 있어야 합니다.


{
            "Effect": "Allow",
            "Action": [
            "ec2:CreateNetworkInterface",
            "ec2:CreateNetworkInterfacePermission",
            "ec2:DeleteNetworkInterface",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeVpcs",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeSubnets",
            "ec2:DescribeSecurityGroups"

SageMaker AI 배치 변환을 위한 프라이빗 VPC 구성

SageMaker AI 배치 변환 작업에 대한 프라이빗 VPC를 구성할 때는 다음 지침을 사용합니다. VPC 설정에 대한 자세한 내용은 Amazon VPC 사용 설명서의 VPC 및 서브넷 작업을 참조하세요.

서브넷에 충분한 IP 주소를 확보해야 합니다

VPC 서브넷에는 변환 작업의 각 인스턴스에 대해 최소 2개 이상의 이용 가능한 프라이빗 IP 주소가 있어야 합니다. 자세한 내용은 Amazon VPC 사용 설명서의 IPv4에 대한 VPC 및 서브넷 크기 조정을 참조하세요.

Amazon S3 VPC 엔드포인트 생성

모델 컨테이너가 인터넷에 액세스할 수 없도록 VPC를 구성한 경우 액세스를 허용하는 VPC 엔드포인트를 생성하지 않는 한 데이터가 포함된 Amazon S3 버킷에 연결할 수 없습니다. VPC 엔드포인트를 생성함으로써 데이터 및 모델 아티팩트를 저장한 버킷에 모델 컨테이너가 액세스하도록 할 수 있습니다. 프라이빗 VPC의 S3 버킷 액세스 요청만을 허용하는 사용자 지정 정책을 생성하는 것이 좋습니다. 자세한 내용은 Amazon S3용 엔드포인트를 참조하세요.

S3 VPC 엔드포인트를 생성하려면

https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.
탐색 창에서 엔드포인트를 선택하고 엔드포인트 생성을 선택합니다.
서비스 이름에서 com.amazonaws.region.s3를 선택합니다.여기서 region은 VPC가 상주하는 리전의 이름입니다.
VPC에서 이 엔드포인트에 사용할 VPC를 선택합니다.
라우팅 테이블 구성에서 엔드포인트에서 사용할 라우팅 테이블을 선택합니다. 그러면 VPC 서비스는 사용자가 선택한 각 라우팅 테이블에 S3 트래픽을 새 엔드포인트로 유도하는 경로를 자동으로 추가합니다.
정책에서 모든 액세스를 선택하여 VPC의 모든 사용자 또는 서비스에 S3 서비스에 대한 모든 액세스를 허용합니다. 액세스 권한을 추가로 제한하려면 사용자 지정을 선택합니다. 자세한 내용은 사용자 지정 엔드포인트 정책을 사용하여 S3에 대한 액세스 제한을 참조하세요.

사용자 지정 엔드포인트 정책을 사용하여 S3에 대한 액세스 제한

기본 엔드포인트 정책은 VPC의 모든 사용자 또는 서비스에 S3에 대한 모든 액세스를 허용합니다. S3에 대한 액세스를 추가로 제한하려면 사용자 지정 엔드포인트 정책을 생성합니다. 자세한 내용은 의 Amazon S3용 엔드포인트 정책 사용을 참조하세요. 또한 S3 버킷에 대한 액세스를 Amazon VPC에서 시작하는 트래픽으로만 제한하는 버킷 정책을 사용할 수도 있습니다. 자세한 내용은 Amazon S3용 엔드포인트를 참조하세요.

모델 컨테이너에서 패키지 설치 제한

기본 엔드포인트 정책은 사용자가 훈련 컨테이너에 있는 Amazon Linux 및 Amazon Linux 2 리포지토리에서 패키지를 설치하도록 허용합니다. 사용자가 해당 리포지토리의 패키지를 설치하지 않도록 하려면 Amazon Linux 및 Amazon Linux 2 리포지토리에 대한 액세스를 명시적으로 거부하는 사용자 지정 엔드포인트 정책을 생성합니다. 다음은 이러한 리포지토리에 대한 액세스를 거부하는 정책의 예입니다.


{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

라우팅 테이블 구성

엔드포인트 라우팅 테이블에 기본 DNS 설정을 사용하여 표준 Amazon S3 URL(예: http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket)을 확인합니다. 기본 DNS 설정을 사용하지 않는 경우 엔드포인트 라우팅 테이블을 구성하여 배치 변환 작업 내 데이터 위치를 지정하는 데 사용하는 URL이 해결되는지 확인합니다. VPC 엔드포인트 라우팅 테이블에 대한 자세한 내용은 Amazon VPC 사용 설명서의 게이트웨이 엔드포인트 라우팅을 참조하세요.

VPC 보안 그룹 구성

분산형 배치 변환에서는 동일한 배치 변환 작업에서 서로 다른 컨테이너 간 통신을 허용해야 합니다. 이렇게 하려면 동일한 보안 그룹의 구성원 간 인바운드 및 아웃바운드 연결을 허용하는 보안 그룹 규칙을 구성합니다. 동일한 보안 그룹의 구성원은 모든 포트에서 서로 통신할 수 있어야 합니다. 자세한 내용은 보안 그룹 규칙을 참조하세요.

VPC 외부 리소스에 연결

인터넷 액세스가 되지 않도록 VPC를 구성한 경우 해당 VPC를 사용하는 배치 변환 작업은 VPC 외부의 리소스에 액세스할 수 없습니다. 배치 변환 작업이 VPC 외부 리소스에 대한 액세스를 필요로 하는 경우 다음 옵션 중 하나를 사용하여 액세스를 제공합니다.

배치 변환 작업이 인터페이스 VPC 엔드포인트를 지원하는 AWS 서비스에 액세스해야 하는 경우 해당 서비스에 연결할 엔드포인트를 생성합니다. 인터페이스 엔드포인트를 지원하는 서비스 목록은 Amazon VPC 사용 설명서의 VPC 엔드포인트를 참조하세요. 인터페이스 VPC 엔드포인트 생성에 대한 자세한 내용은 Amazon VPC 사용 설명서의 인터페이스 VPC 엔드포인트(AWS PrivateLink)를 참조하세요.
배치 변환 작업에 인터페이스 VPC 엔드포인트를 지원하지 않는 AWS 서비스 또는 외부의 리소스에 대한 액세스가 필요한 경우 NAT 게이트웨이를 AWS생성하고 아웃바운드 연결을 허용하도록 보안 그룹을 구성합니다. VPC의 NAT 게이트웨이 설정에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서의 시나리오 2: 퍼블릭 서브넷과 프라이빗 서브넷이 있는 VPC(NAT)를 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

SageMaker AI 호스팅 엔드포인트에 Amazon VPC의 리소스에 대한 액세스 권한 부여

Amazon SageMaker Clarify 작업에 Amazon VPC의 리소스에 대한 액세스 권한 부여

다음 주제:

Amazon SageMaker Clarify 작업에 Amazon VPC의 리소스에 대한 액세스 권한 부여

이전 주제: