내 SageMaker AI에 연결 VPC - Amazon SageMaker AI
VPC 인터페이스 엔드포인트를 통해 SageMaker AI에 연결내 리소스와 함께 SageMaker 훈련 및 호스팅 사용 VPC SageMaker AI용 VPC 엔드포인트 정책 생성Amazon SageMaker 특성 저장소에 대한 VPC 엔드포인트 정책 생성프라이빗 네트워크를에 연결 VPC

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

내 SageMaker AI에 연결 VPC

인터넷을 SageMaker API 통해 연결하는 대신 가상 프라이빗 클라우드(VPC)의 인터페이스 엔드포인트를 통해 또는 Amazon SageMaker 런타임에 직접 연결할 수 있습니다. VPC 인터페이스 엔드포인트를 사용하면 VPC와 SageMaker AI API 또는 런타임 간의 통신이 AWS 네트워크 내에서 완전하고 안전하게 수행됩니다.

VPC 인터페이스 엔드포인트를 통해 SageMaker AI에 연결

및 SageMaker AI 런타임은 SageMaker API 로 구동되는 Amazon Virtual Private Cloud(Amazon VPC) 인터페이스 엔드포인트를 지원합니다AWS PrivateLink. 각 VPC 엔드포인트는 VPC 서브넷에 프라이빗 IP 주소가 있는 하나 이상의 탄력적 네트워크 인터페이스로 표시됩니다. 예를 들어, 내 애플리케이션은 AWS PrivateLink 를 VPC 사용하여 SageMaker AI 런타임과 통신합니다. SageMaker AI 런타임은 차례로 SageMaker AI 엔드포인트와 통신합니다. AWS PrivateLink 를 사용하면 다음 다이어그램과 VPC같이 내에서 SageMaker AI 엔드포인트를 호출할 수 있습니다.

는 AWS PrivateLink 를 VPC 사용하여 SageMaker AI 엔드포인트와 통신합니다.

VPC 인터페이스 엔드포인트는 인터넷 게이트웨이, NAT 디바이스, 연결 또는 VPN 연결을 사용하지 AWS PrivateLink 않고를 SageMaker API 사용하여 또는 SageMaker AI 런타임에를 VPC 직접 AWS Direct Connect 연결합니다. 또는 SageMaker AI 런타임과 통신하기 위해의 인스턴스를 SageMaker API 퍼블릭 인터넷에 연결할 필요가 VPC 없습니다.

AWS Management Console 또는 AWS Command Line Interface ()를 사용하여 SageMaker AI 또는 SageMaker AI 런타임에 연결할 AWS PrivateLink 인터페이스 엔드포인트를 생성할 수 있습니다AWS CLI. 지침은 인터페이스 VPC 엔드포인트를 사용하여 AWS 서비스 액세스를 참조하세요.

VPC 엔드포인트에 프라이빗 도메인 이름 시스템(DNS) 호스트 이름을 활성화하지 않은 경우 VPC 엔드포인트를 생성한 후 인터넷 엔드포인트를 또는 SageMaker AI 런타임URL에 SageMaker API 지정합니다. AWS CLI 명령을 사용하여 endpoint-url 파라미터를 지정하는 코드 예제는 다음과 같습니다.

aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com  \
    --endpoint-name Endpoint_Name \
    --body "Endpoint_Body" \
    --content-type "Content_Type" \
            Output_File

VPC 엔드포인트에 프라이빗 DNS 호스트 이름을 활성화하는 경우 기본 호스트 이름(https://api.sagemaker.Region.amazon.com)이 엔드포인트로 확인URL되므로 VPC 엔드포인트를 지정할 필요가 없습니다. 마찬가지로 기본 SageMaker AI 런타임 DNS 호스트 이름(https://runtime.sagemaker.Region.amazonaws.com)도 VPC 엔드포인트로 확인됩니다.

및 SageMaker AI 런타임은 SageMaker API AmazonVPCSageMaker AI를 모두 사용할 수 AWS 리전 있는 모든에서 VPC 엔드포인트를 지원합니다. SageMaker AI는 Operations 내 모든에 대한 호출을 지원합니다VPC. AuthorizedUrl의를 사용하는 경우 
 CreatePresignedNotebookInstanceUrl 명령: 트래픽이 퍼블릭 인터넷을 통과합니다. VPC 엔드포인트를 사용하여 미리 서명된에 액세스할 수 없으며 URL요청은 인터넷 게이트웨이를 통과해야 합니다.

기본적으로 사용자는 미리 서명된를 회사 네트워크 외부의 URL 사람들과 공유할 수 있습니다. 보안을 강화하려면 네트워크 내에서URL만 사용할 수 있는 IAM 권한을 추가해야 합니다. IAM 권한에 대한 자세한 내용은 에서 AWS PrivateLink 를 사용하는 방법을 IAM참조하세요.

참고

SageMaker AI 런타임 서비스(https://runtime.sagemaker.Region.amazonaws.com)에 대한 VPC 인터페이스 엔드포인트를 설정할 때 프라이빗 DNS 해상도가 작동하려면 클라이언트의 가용 영역에서 VPC 인터페이스 엔드포인트가 활성화되어 있어야 합니다. 그렇지 않으면를 해결하려고 할 때 DNS 오류가 표시될 수 있습니다URL.

자세한 내용은 AWS PrivateLink 설명서를 AWS PrivateLink참조하세요. VPC 엔드포인트 가격은 AWS PrivateLink 요금을 참조하세요. VPC 및 엔드포인트에 대한 자세한 내용은 Amazon VPC을 참조하세요. 자격 증명 기반 AWS Identity and Access Management 정책을 사용하여 및 SageMaker AI 런타임에 대한 SageMaker API 액세스를 제한하는 방법에 대한 자세한 내용은 섹션을 참조하세요자격 증명 기반 정책을 API 사용하여 SageMaker AI에 대한 액세스 제어.

내 리소스와 함께 SageMaker 훈련 및 호스팅 사용 VPC

SageMaker AI는 실행 역할을 사용하여 훈련 또는 추론 컨테이너와 별도로 Amazon S3 버킷 및 Amazon Elastic Container Registry(AmazonECR)에서 정보를 다운로드하고 업로드합니다. 내에 리소스가 있는 경우에도 해당 리소스에 대한 SageMaker AI 액세스 권한을 부여할 VPC수 있습니다. 다음 섹션에서는 네트워크 격리 여부와 관계없이 리소스를 SageMaker AI에 제공하는 방법을 설명합니다.

네트워크 격리가 활성화되지 않은 상태

훈련 작업 또는 모델에 네트워크 격리를 설정하지 않은 경우 SageMaker AI는 다음 방법 중 하나를 사용하여 리소스에 액세스할 수 있습니다.

  • SageMaker 훈련 및 배포된 추론 컨테이너는 기본적으로 인터넷에 액세스할 수 있습니다. SageMaker AI 컨테이너는 훈련 및 추론 워크로드의 일부로 퍼블릭 인터넷의 외부 서비스 및 리소스에 액세스할 수 있습니다. SageMaker 다음 그림과 같이 AI 컨테이너는 VPC 구성 VPC 없이의 리소스에 액세스할 수 없습니다.

    SageMaker AI는 VPC 구성 VPC 없이의 리소스에 액세스할 수 없습니다.

  • VPC 구성을 사용하여 탄력적 네트워크 인터페이스()를 VPC 통해 내부의 리소스와 통신합니다ENI. 다음 그림과 같이 컨테이너와의 리소스 간의 통신은 VPC 네트워크 내에서 안전하게 VPC 이루어집니다. 이 경우 VPC 리소스 및 인터넷에 대한 네트워킹 액세스를 관리합니다.

    SageMaker AI는 VPC 구성으로에 액세스하고 내 리소스VPC와 통신할 수 있습니다.

네트워크 격리 사용 시

네트워크 격리를 사용하는 경우 SageMaker AI 컨테이너는 다음 그림과 같이 내 리소스와 통신VPC하거나 네트워크 호출을 수행할 수 없습니다. VPC 구성을 제공하면 다운로드 및 업로드 작업이를 통해 실행됩니다VPC. 를 사용하는 동안 네트워크 격리를 통한 호스팅 및 훈련에 대한 자세한 내용은 섹션을 VPC참조하세요네트워크 격리.

SageMaker AI는 VPC 구성으로에 액세스하고 내 리소스VPC와 통신할 수 있습니다.

SageMaker AI용 Amazon VPC 엔드포인트에 대해 정책을 생성하여 다음을 지정할 수 있습니다.

  • 작업을 수행할 수 있는 위탁자.

  • 수행할 수 있는 작업.

  • 작업을 수행할 수 있는 리소스.

자세한 내용은 Amazon VPC 사용 설명서 VPC 엔드포인트를 사용하여 서비스에 대한 액세스 제어를 참조하세요.

참고

VPC 엔드포인트 정책은에 대한 연방 정보 처리 표준(FIPS) SageMaker AI 런타임 엔드포인트에는 지원되지 않습니다. runtime_InvokeEndpoint.

다음 예제 VPC 엔드포인트 정책은 VPC 인터페이스 엔드포인트에 액세스할 수 있는 모든 사용자가 라는 SageMaker AI 호스팅 엔드포인트를 호출할 수 있도록 지정합니다myEndpoint.

{
  "Statement": [
      {
          "Action": "sagemaker:InvokeEndpoint",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
          "Principal": "*"
      }
  ]
}

이 예제에서 다음은 거부됩니다.

  • sagemaker:CreateEndpoint 및와 같은 기타 SageMaker API 작업sagemaker:CreateTrainingJob.

  • 이외의 SageMaker AI 호스팅 엔드포인트 호출myEndpoint.

참고

이 예제에서는 사용자가 외부에서 다른 SageMaker API 작업을 수행할 수 있습니다VPC. 에서 API 호출을 로 제한하는 방법에 대한 자세한 내용은 섹션을 VPC참조하세요자격 증명 기반 정책을 API 사용하여 SageMaker AI에 대한 액세스 제어.

Amazon SageMaker 특성 저장소용 VPC 엔드포인트를 생성하려면 다음 엔드포인트 템플릿을 사용하여 VPC_Endpoint_ID.api 및를 대체합니다. Region

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

를 SageMaker API 통해 및 SageMaker AI 런타임을 호출하려면 내부에 있는 인스턴스에서 연결VPC하거나 AWS Virtual Private Network (AWS VPN) 또는를 사용하여 프라이빗 네트워크를 VPC에 연결VPC해야 합니다 AWS Direct Connect. 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서의 연결을 AWS VPN참조하세요. VPN 자세한 내용은 AWS Direct Connect 사용 설명서의 연결 생성을 AWS Direct Connect참조하세요. https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html