기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
인터넷을 통해 연결하는 대신 Virtual Private Cloud(VPC)의 인터페이스 엔드포인트를 통해 SageMaker API 또는 Amazon SageMaker 런타임에 직접 연결할 수 있습니다. VPC 인터페이스 엔드포인트를 사용하면 VPC와 SageMaker AI API 또는 런타임 간의 통신이 AWS 네트워크 내에서 완전하고 안전하게 수행됩니다.
VPC 인터페이스 엔드포인트를 통해 SageMaker AI에 연결
SageMaker API 및 SageMaker AI 런타임은 로 구동되는 Amazon Virtual Private Cloud(Amazon VPC) 인터페이스 엔드포인트를 지원합니다AWS PrivateLink
VPC 인터페이스 엔드포인트는 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 연결을 사용하지 AWS PrivateLink 않고를 사용하여 VPC를 SageMaker API 또는 SageMaker AI 런타임에 직접 AWS Direct Connect 연결합니다. VPC의 인스턴스는 SageMaker API 또는 SageMaker AI 런타임과 통신하기 위해 퍼블릭 인터넷에 연결할 필요가 없습니다.
AWS Management Console 또는 AWS Command Line Interface ()를 사용하여 SageMaker AI 또는 SageMaker AI 런타임에 연결하는 AWS PrivateLink 인터페이스 엔드포인트를 생성할 수 있습니다AWS CLI. 지침은 인터페이스 VPC 엔드포인트를 사용하여 AWS 서비스 액세스를 참조하세요.
VPC 엔드포인트에 대해 프라이빗 도메인 이름 시스템(DNS) 호스트 이름을 활성화하지 않은 경우 VPC 엔드포인트를 생성한 후 인터넷 엔드포인트 URL을 SageMaker API 또는 SageMaker AI 런타임에 지정합니다. AWS CLI 명령을 사용하여 endpoint-url 파라미터를 지정하는 코드 예제는 다음과 같습니다.
aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \
--endpoint-name Endpoint_Name \
--body "Endpoint_Body" \
--content-type "Content_Type" \
Output_FileVPC 엔드포인트에 프라이빗 DNS 호스트 이름을 활성화하는 경우, 기본 호스트 이름(https://api.sagemaker.Region.amazon.com)이 VPC 엔드포인트로 확인되므로 엔드포인트 URL을 지정할 필요가 없습니다. 마찬가지로 기본 SageMaker AI 런타임 DNS 호스트 이름(https://runtime.sagemaker.Region.amazonaws.com)도 VPC 엔드포인트로 확인됩니다.
SageMaker API 및 SageMaker AI 런타임은 Amazon VPC와 SageMaker AI를 모두 사용할 수 AWS 리전 있는 모든에서 VPC 엔드포인트를 지원합니다. https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region SageMaker AI는 VPC Operations 내의 모든에 대한 호출을 지원합니다. CreatePresignedNotebookInstanceUrl 명령의 AuthorizedUrl을 사용하는 경우 트래픽이 퍼블릭 인터넷을 통과합니다. VPC 엔드포인트만을 사용하여 미리 서명된 URL에 액세스할 수 없으며 요청은 인터넷 게이트웨이를 거쳐야 합니다.
기본적으로 사용자는 미리 서명된 URL을 회사 네트워크 외부의 사람들과 공유할 수 있습니다. 보안을 강화하려면 네트워크 내에서만 URL을 사용할 수 있도록 제한하는 IAM 권한을 추가해야 합니다. IAM 권한에 대한 자세한 내용은가 IAM으로 AWS PrivateLink 작동하는 방법을 참조하세요.
참고
SageMaker AI 런타임 서비스(https://runtime.sagemaker.Region
에 대해 자세히 알아보려면 AWS PrivateLink 설명서를 AWS PrivateLink참조하세요. VPC 엔드포인트 요금은 AWS PrivateLink 요금
VPC 내부 리소스를 통한 SageMaker 훈련 및 호스팅 사용
SageMaker AI는 실행 역할을 사용하여 훈련 또는 추론 컨테이너와 별도로 Amazon S3 버킷 및 Amazon Elastic Container Registry(Amazon ECR)에서 정보를 다운로드하고 업로드합니다. VPC 내에 리소스가 있는 경우에도 SageMaker AI에 해당 리소스에 대한 액세스 권한을 부여할 수 있습니다. 다음 섹션에서는 네트워크 격리 여부에 관계없이 SageMaker AI에서 리소스를 사용할 수 있도록 하는 방법을 설명합니다.
네트워크 격리가 활성화되지 않은 상태
훈련 작업 또는 모델에 네트워크 격리를 설정하지 않은 경우 SageMaker AI는 다음 방법 중 하나를 사용하여 리소스에 액세스할 수 있습니다.
-
SageMaker 훈련 및 배포된 추론 컨테이너는 기본적으로 인터넷에 액세스할 수 있습니다. SageMaker AI 컨테이너는 훈련 및 추론 워크로드의 일부로 퍼블릭 인터넷의 외부 서비스 및 리소스에 액세스할 수 있습니다. 다음 그림과 같이 SageMaker AI 컨테이너는 VPC 구성 없이 VPC 내의 리소스에 액세스할 수 없습니다.
-
VPC 구성을 사용하여 탄력적 네트워크 인터페이스(ENI)를 통해 VPC 내부 리소스와 통신할 수 있습니다. 다음 그림과 같이 컨테이너와 VPC의 리소스 간의 통신은 VPC 네트워크 내에서 안전하게 이루어집니다. 이 경우 VPC 리소스 및 인터넷에 대한 네트워킹 액세스를 관리합니다.
네트워크 격리 사용 시
네트워크 격리를 사용하는 경우 SageMaker AI 컨테이너는 다음 그림과 같이 VPC 내의 리소스와 통신하거나 네트워크를 호출할 수 없습니다. VPC 구성을 제공하면 VPC를 통해 다운로드 및 업로드 작업이 실행됩니다. VPC를 사용하는 동안 네트워크 격리를 통한 호스팅 및 훈련에 대한 자세한 내용은 네트워크 격리을 참조하세요.
SageMaker AI에 대한 VPC 엔드포인트 정책 생성
SageMaker AI용 Amazon VPC 엔드포인트에 대한 정책을 생성하여 다음을 지정할 수 있습니다.
-
작업을 수행할 수 있는 위탁자.
-
수행할 수 있는 작업.
-
작업을 수행할 수 있는 리소스.
자세한 내용은 Amazon VPC 사용 설명서의 VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하세요.
참고
VPC 엔드포인트 정책은 용 FIPS(Federal Information Processing Standard) SageMaker AI 런타임 엔드포인트에 대해 지원되지 않습니다runtime_InvokeEndpoint.
다음 예제 VPC 엔드포인트 정책은 VPC 인터페이스 엔드포인트에 액세스할 수 있는 모든 사용자가 라는 SageMaker AI 호스팅 엔드포인트를 호출할 수 있도록 지정합니다myEndpoint.
{
"Statement": [
{
"Action": "sagemaker:InvokeEndpoint",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
"Principal": "*"
}
]
}이 예제에서 다음은 거부됩니다.
-
sagemaker:CreateEndpoint및sagemaker:CreateTrainingJob와 같은 다른 SageMaker API 작업. -
이외의 SageMaker AI 호스팅 엔드포인트 호출
myEndpoint.
참고
이 예제에서 사용자는 VPC 외부로부터의 다른 SageMaker API 작업을 계속 사용할 수 있습니다. API 직접 호출을 VPC 내부의 API 직접 호출로 제한하는 방법에 대한 자세한 내용은 자격 증명 기반 정책을 사용하여 SageMaker AI API에 대한 액세스 제어을 참조하세요.
Amazon SageMaker 특성 저장소용 VPC 엔드포인트 정책 생성
Amazon SageMaker 특성 저장소용 VPC Endpoint를 생성하려면 다음 엔드포인트 템플릿을 사용하여 VPC_Endpoint_ID.api 및 리전을 대체합니다.
VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com
VPC에 프라이빗 네트워크 연결
VPC를 통해 SageMaker API 및 SageMaker AI 런타임을 호출하려면 VPC 내에 있는 인스턴스에서 연결하거나 AWS Virtual Private Network (AWS VPN) 또는를 사용하여 프라이빗 네트워크를 VPC에 연결해야 합니다 AWS Direct Connect. 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서의 VPN 연결을 AWS VPN참조하세요. https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html 에 대한 자세한 내용은 AWS Direct Connect 사용 설명서의 연결 생성을 AWS Direct Connect참조하세요. https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html
