인터넷이 연결되지 않은 모드에서 훈련 및 추론 컨테이너 실행

SageMaker 훈련 및 배포된 추론 컨테이너는 기본적으로 인터넷을 사용할 수 있습니다. 따라서 컨테이너가 훈련 및 추론 워크로드의 일부로 퍼블릭 인터넷의 외부 서비스 및 리소스에 액세스할 수 있습니다. 그러나 이는 데이터에 무단으로 액세스할 수 있는 경로를 제공할 수 있습니다. 예를 들어 컨테이너에 실수로 설치한 악의적 사용자 또는 코드(공개적으로 사용할 수 있는 노트북 또는 공개적으로 사용할 수 있는 소스 코드 라이브러리)가 데이터에 액세스해 데이터를 원격 호스트로 전송할 수 있습니다.

CreateTrainingJob, CreateHyperParameterTuningJob또는 를 호출할 때 VpcConfig 파라미터 값을 지정VPC하여 Amazon을 사용하는 경우 보안 그룹을 관리하고 에서 인터넷 액세스를 제한하여 데이터와 리소스를 보호할 CreateModel수 있습니다VPC. 그러나 이렇게 하면 추가 네트워크 구성 비용이 발생하고 네트워크를 잘못 구성할 위험이 있습니다. 훈련 또는 추론 컨테이너 SageMaker 에 대한 외부 네트워크 액세스를 제공하지 않으려면 네트워크 격리를 활성화할 수 있습니다.

네트워크 격리

CreateTrainingJob, CreateHyperParameterTuningJob또는 CreateModel호출 시 EnableNetworkIsolation파라미터의 값을 True로 설정하여 훈련 작업 또는 모델을 생성할 때 네트워크 격리를 활성화할 수 있습니다.

참고

네트워크 격리는 AWS Marketplace의 리소스를 사용한 훈련 작업 및 모델 실행에 필요합니다. 추가 보안을 위해 AWS Marketplace 이미지는 Amazon 내에서 실행됩니다VPC. 로컬 파일 시스템 내의 데이터에만 액세스할 수 있습니다.

네트워크 격리를 활성화하면 Amazon S3와 같은 다른 AWS 서비스에 대해서도 컨테이너가 아웃바운드 네트워크 호출을 수행할 수 없습니다. 또한 컨테이너 런타임 환경에서는 AWS 보안 인증 정보를 사용할 수 없습니다. 인스턴스가 여러 개인 훈련 작업의 경우 네트워크 인바운드 및 아웃바운드 트래픽은 각 훈련 컨테이너의 피어로 제한됩니다. SageMaker 는 훈련 또는 추론 컨테이너와 별도로 SageMaker 실행 역할을 사용하여 Amazon S3에 대한 다운로드 및 업로드 작업을 수행합니다.

다음 관리형 SageMaker 컨테이너는 Amazon S3에 액세스해야 하므로 네트워크 격리를 지원하지 않습니다.

Chainer
SageMaker 강화 학습

를 사용한 네트워크 격리 VPC

네트워크 격리는 와 함께 사용할 수 있습니다VPC. 이 시나리오에서는 고객 데이터 및 모델 아티팩트의 다운로드 및 업로드가 VPC 서브넷을 통해 라우팅됩니다. 그러나 훈련 및 추론 컨테이너 자체는 네트워크에서 계속 격리되며 사용자 VPC 또는 인터넷의 리소스에 액세스할 수 없습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

의 노트북 인스턴스를 외부 리소스VPC에 연결

SageMaker 내 에 연결 VPC