SageMaker 내 에 연결 VPC - Amazon SageMaker
VPC 인터페이스 엔드포인트를 SageMaker 통해 에 연결내 리소스와 함께 SageMaker 훈련 및 호스팅 사용 VPC에 대한 VPC 엔드포인트 정책 생성 SageMakerAmazon SageMaker Feature Store용 VPC 엔드포인트 정책 생성프라이빗 네트워크를 에 연결 VPC

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

SageMaker 내 에 연결 VPC

인터넷을 SageMaker API 통해 연결하는 대신 가상 프라이빗 클라우드(VPC)의 인터페이스 엔드포인트를 통해 또는 Amazon SageMaker 런타임에 직접 연결할 수 있습니다. VPC 인터페이스 엔드포인트를 사용하면 VPC 와 SageMaker API 또는 런타임 간의 통신이 AWS 네트워크 내에서 완전하고 안전하게 수행됩니다.

VPC 인터페이스 엔드포인트를 SageMaker 통해 에 연결

및 SageMaker 런타임은 SageMaker API 로 구동되는 Amazon Virtual Private Cloud(Amazon VPC) 인터페이스 엔드포인트를 지원합니다AWS PrivateLink. 각 VPC 엔드포인트는 VPC 서브넷에 프라이빗 IP 주소가 있는 하나 이상의 탄력적 네트워크 인터페이스로 표시됩니다. 예를 들어 내 애플리케이션은 VPC를 사용하여 SageMaker 런타임과 통신 AWS PrivateLink 합니다. SageMaker 런타임은 차례로 SageMaker 엔드포인트와 통신합니다. AWS PrivateLink 를 사용하면 다음 다이어그램과 VPC같이 내에서 SageMaker 엔드포인트를 호출할 수 있습니다.

는 AWS PrivateLink 를 VPC 사용하여 SageMaker 엔드포인트와 통신합니다.

VPC 인터페이스 엔드포인트는 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 연결을 사용하지 AWS PrivateLink 않고 를 사용하여 또는 SageMaker 런타임에 SageMaker API 를 VPC 직접 AWS Direct Connect 연결합니다. 또는 SageMaker 런타임과 SageMaker API 통신하기 위해 의 인스턴스를 퍼블릭 인터넷에 연결할 필요가 VPC 없습니다.

AWS Management Console 또는 AWS Command Line Interface ()를 사용하여 SageMaker 또는 런타임에 SageMaker 연결할 AWS PrivateLink 인터페이스 엔드포인트를 생성할 수 있습니다AWS CLI. 지침은 인터페이스 VPC 엔드포인트를 사용하여 AWS 서비스 액세스를 참조하세요.

VPC 엔드포인트에 프라이빗 도메인 이름 시스템(DNS) 호스트 이름을 활성화하지 않은 경우 VPC 엔드포인트를 생성한 후 또는 SageMaker 런타임URL에 SageMaker API 인터넷 엔드포인트를 지정합니다. AWS CLI 명령을 사용하여 endpoint-url 파라미터를 지정하는 코드 예제는 다음과 같습니다.

aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com  \
    --endpoint-name Endpoint_Name \
    --body "Endpoint_Body" \
    --content-type "Content_Type" \
            Output_File

VPC 엔드포인트에 프라이빗 DNS 호스트 이름을 활성화하는 경우 URL 기본 호스트 이름(https://api.sagemaker.Region.amazon.com)가 VPC 엔드포인트로 확인됩니다. 마찬가지로 기본 SageMaker 런타임 DNS 호스트 이름(https://runtime.sagemaker.Region.amazonaws.com)도 VPC 엔드포인트로 확인됩니다.

및 SageMaker 런타임은 SageMaker API AmazonVPCSageMaker를 모두 사용할 수 AWS 리전 있는 모든 에서 VPC 엔드포인트를 지원합니다. 는 Operations 내 모든 에 대한 호출을 SageMaker 지원합니다VPC. AuthorizedUrl 의 를 사용하는 경우 
 CreatePresignedNotebookInstanceUrl 명령을 실행하면 트래픽이 퍼블릭 인터넷을 통과합니다. VPC 엔드포인트를 사용하여 미리 서명된 에 액세스할 수 없으며 URL요청은 인터넷 게이트웨이를 거쳐야 합니다.

기본적으로 사용자는 미리 서명된 를 회사 네트워크 외부의 URL 사람들과 공유할 수 있습니다. 추가 보안을 위해 네트워크 내에서URL만 사용할 수 있는 를 제한하는 IAM 권한을 추가해야 합니다. IAM 권한에 대한 자세한 내용은 에서 AWS PrivateLink 를 사용하는 방법을 IAM참조하세요.

참고

SageMaker 런타임 서비스(https://runtime.sagemaker.Region.amazonaws.com)에 대한 VPC 인터페이스 엔드포인트를 설정할 때 프라이빗 DNS 해상도가 작동하려면 클라이언트의 가용 영역에서 VPC 인터페이스 엔드포인트가 활성화되어 있어야 합니다. 그렇지 않으면 를 해결하려고 할 때 DNS 오류가 발생할 수 있습니다URL.

에 대한 자세한 내용은 AWS PrivateLink 설명서를 AWS PrivateLink참조하세요. VPC 엔드포인트 가격은 AWS PrivateLink 요금을 참조하세요. VPC 및 엔드포인트에 대한 자세한 내용은 Amazon 섹션을 VPC참조하세요. 자격 증명 기반 AWS Identity and Access Management 정책을 사용하여 및 SageMaker 런타임에 대한 SageMaker API 액세스를 제한하는 방법에 대한 자세한 내용은 섹션을 참조하세요자격 증명 기반 정책을 사용하여 SageMaker API에 대한 액세스 제어.

내 리소스와 함께 SageMaker 훈련 및 호스팅 사용 VPC

SageMaker 는 실행 역할을 사용하여 훈련 또는 추론 컨테이너와 별도로 Amazon S3 버킷 및 Amazon Elastic Container Registry(AmazonECR)에서 정보를 다운로드하고 업로드합니다. 내에 리소스가 있는 경우에도 해당 리소스에 대한 SageMaker 액세스 권한을 부여할 VPC수 있습니다. 다음 섹션에서는 네트워크 격리 SageMaker 여부와 관계없이 리소스를 에 제공하는 방법을 설명합니다.

네트워크 격리가 활성화되지 않은 상태

훈련 작업 또는 모델에 네트워크 격리를 설정하지 않은 경우 는 다음 방법 중 하나를 사용하여 리소스에 액세스할 SageMaker 수 있습니다.

  • SageMaker 훈련 및 배포된 추론 컨테이너는 기본적으로 인터넷에 액세스할 수 있습니다. SageMaker 컨테이너는 훈련 및 추론 워크로드의 일부로 퍼블릭 인터넷의 외부 서비스 및 리소스에 액세스할 수 있습니다. SageMaker 컨테이너는 다음 그림과 같이 VPC 구성 VPC 없이 의 리소스에 액세스할 수 없습니다.

    SageMaker 는 VPC 구성 VPC 없이 내부의 리소스에 액세스할 수 없습니다.

  • VPC 구성을 사용하여 탄력적 네트워크 인터페이스()를 VPC 통해 내부의 리소스와 통신합니다ENI. 다음 그림과 같이 컨테이너와 의 리소스 간의 통신은 VPC 네트워크 내에서 안전하게 VPC 이루어집니다. 이 경우 VPC 리소스 및 인터넷에 대한 네트워킹 액세스를 관리합니다.

    SageMaker 는 VPC 에 액세스하고 구성을 VPC 사용하여 의 리소스와 통신할 수 있습니다.

네트워크 격리 사용 시

네트워크 격리를 사용하는 경우 다음 그림과 같이 SageMaker 컨테이너는 의 리소스와 통신VPC하거나 네트워크 호출을 수행할 수 없습니다. VPC 구성을 제공하면 다운로드 및 업로드 작업이 를 통해 실행됩니다VPC. 를 사용하는 동안 네트워크 격리를 통한 호스팅 및 훈련에 대한 자세한 내용은 섹션을 VPC참조하세요네트워크 격리.

SageMaker 는 VPC 에 액세스하고 구성을 VPC 사용하여 의 리소스와 통신할 수 있습니다.

에 대한 Amazon VPC 엔드포인트 정책을 생성 SageMaker 하여 다음을 지정할 수 있습니다.

  • 작업을 수행할 수 있는 보안 주체.

  • 수행할 수 있는 작업.

  • 작업을 수행할 수 있는 리소스.

자세한 내용은 Amazon VPC 사용 설명서 VPC 엔드포인트를 사용하여 서비스에 대한 액세스 제어를 참조하세요.

참고

VPC 엔드포인트 정책은 에 대한 연방 정보 처리 표준(FIPS) SageMaker 런타임 엔드포인트에서 지원되지 않습니다. runtime_InvokeEndpoint.

다음 예제 VPC 엔드포인트 정책은 VPC 인터페이스 엔드포인트에 액세스할 수 있는 모든 사용자가 라는 SageMaker 호스팅 엔드포인트를 호출할 수 있도록 지정합니다myEndpoint.

{
  "Statement": [
      {
          "Action": "sagemaker:InvokeEndpoint",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
          "Principal": "*"
      }
  ]
}

이 예제에서 다음은 거부됩니다.

  • sagemaker:CreateEndpoint 및 와 같은 기타 SageMaker API 작업sagemaker:CreateTrainingJob.

  • 이외의 SageMaker 호스팅 엔드포인트 호출myEndpoint.

참고

이 예제에서는 사용자가 외부에서 다른 SageMaker API 작업을 수행할 수 있습니다VPC. 에서 로 API 통화를 제한하는 방법에 대한 자세한 내용은 섹션을 VPC참조하세요자격 증명 기반 정책을 사용하여 SageMaker API에 대한 액세스 제어.

Amazon SageMaker Feature Store용 VPC 엔드포인트를 생성하려면 다음 엔드포인트 템플릿을 사용하여 VPC_Endpoint_ID.api 그리고 Region:

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

를 SageMaker API 통해 및 SageMaker 런타임을 호출하려면 에 있는 인스턴스에서 연결VPC하거나 AWS Virtual Private Network (AWS VPN) 또는 를 사용하여 프라이빗 네트워크를 VPC에 연결VPC해야 합니다 AWS Direct Connect. 에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서의 연결을 AWS VPN참조하세요. VPN 에 대한 자세한 내용은 AWS Direct Connect 사용 설명서의 연결 생성을 AWS Direct Connect참조하세요. https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html