기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
SageMaker AI 훈련 및 배포된 추론 컨테이너는 기본적으로 인터넷을 사용합니다. 따라서 컨테이너가 훈련 및 추론 워크로드의 일부로 퍼블릭 인터넷의 외부 서비스 및 리소스에 액세스할 수 있습니다. 그러나 이는 데이터에 무단으로 액세스할 수 있는 경로를 제공할 수 있습니다. 예를 들어 컨테이너에 실수로 설치한 악의적 사용자 또는 코드(공개적으로 사용할 수 있는 노트북 또는 공개적으로 사용할 수 있는 소스 코드 라이브러리)가 데이터에 액세스해 데이터를 원격 호스트로 전송할 수 있습니다.
CreateTrainingJob, CreateHyperParameterTuningJob또는 CreateModel을 호출할 때 VpcConfig파라미터의 값을 지정하여 Amazon VPC를 사용하는 경우 보안 그룹을 관리하고 VPC에서 인터넷 액세스를 제한하여 데이터 및 리소스를 보호할 수 있습니다. 그러나 이렇게 하면 추가 네트워크 구성 비용이 발생하고 네트워크를 잘못 구성할 위험이 있습니다. SageMaker AI가 훈련 또는 추론 컨테이너에 대한 외부 네트워크 액세스를 제공하지 않도록 하려면 네트워크 격리를 활성화할 수 있습니다.
네트워크 격리
CreateTrainingJob, CreateHyperParameterTuningJob또는 CreateModel호출 시 EnableNetworkIsolation파라미터의 값을 True로 설정하여 훈련 작업 또는 모델을 생성할 때 네트워크 격리를 활성화할 수 있습니다.
참고
네트워크 격리는 AWS Marketplace의 리소스를 사용한 훈련 작업 및 모델 실행에 필요합니다. 추가 보안을 위해 AWS Marketplace 이미지는 Amazon VPC 내에서 실행됩니다. 이들은 로컬 파일 시스템 내의 데이터에만 액세스할 수 있습니다.
네트워크 격리를 활성화하면 Amazon S3와 같은 다른 AWS 서비스에서도 컨테이너가 아웃바운드 네트워크를 호출할 수 없습니다. 또한 컨테이너 런타임 환경에서는 AWS 자격 증명을 사용할 수 없습니다. 여러 인스턴스가 포함된 훈련 작업의 경우 네트워크 인바운드 및 아웃바운드 트래픽은 각 훈련 컨테이너의 피어로 제한됩니다. SageMaker AI는 여전히 훈련 또는 추론 컨테이너와 별도로 SageMaker AI 실행 역할을 사용하여 Amazon S3에 대한 다운로드 및 업로드 작업을 수행합니다.
다음 관리형 SageMaker AI 컨테이너는 Amazon S3에 액세스해야 하므로 네트워크 격리를 지원하지 않습니다.
-
Chainer
-
SageMaker AI 강화 학습
VPC를 사용한 네트워크 격리
네트워크 격리는 VPC와 함께 사용할 수 있습니다. 이 시나리오에서 고객 데이터 및 모델 결과물 다운로드 및 업로드는 VPC 서브넷을 통해 라우팅됩니다. 그러나 훈련 및 추론 컨테이너 자체는 계속해서 네트워크에서 격리되고 VPC 또는 인터넷의 어떠한 리소스에도 액세스할 수 없습니다.
