Configurar um Batch Transform Job para Amazon VPC Access Configure seu Private VPC for SageMaker Batch Transform

Dê aos trabalhos do Batch Transform acesso aos recursos em sua Amazon VPC

Para controlar o acesso aos seus dados e transformar trabalhos em lote, recomendamos que você crie uma Amazon privada VPC e a configure para que seus trabalhos não sejam acessíveis pela Internet pública. Você especifica sua VPC configuração privada ao criar um modelo especificando sub-redes e grupos de segurança. Em seguida, você especifica o mesmo modelo ao criar uma tarefa de transformação em lote. Quando você especifica as sub-redes e os grupos de segurança, SageMaker cria interfaces de rede elásticas associadas aos seus grupos de segurança em uma das sub-redes. As interfaces de rede permitem que seus contêineres de modelo se conectem aos recursos em seuVPC. Para obter informações sobre interfaces de rede, consulte Elastic Network Interfaces no Amazon VPC User Guide.

Este documento explica como adicionar VPC configurações da Amazon para trabalhos de transformação em lote.

Configurar um Batch Transform Job para Amazon VPC Access

Para especificar sub-redes e grupos de segurança em sua conta privadaVPC, use o parâmetro de VpcConfig solicitação do CreateModelAPIou forneça essas informações ao criar um modelo no SageMaker console. Em seguida, especifique o mesmo modelo no parâmetro de ModelName solicitação do CreateTransformJobAPI, ou no campo Nome do modelo ao criar uma tarefa de transformação no SageMaker console. SageMaker usa essas informações para criar interfaces de rede e anexá-las aos contêineres do modelo. As interfaces de rede fornecem aos contêineres modelo uma conexão de rede dentro da sua VPC que não está conectada à Internet. Eles também permitem que seu trabalho de transformação se conecte a recursos em sua privacidadeVPC.

Veja a seguir um exemplo do parâmetro VpcConfig incluído na sua chamada para CreateModel:


VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

Se você estiver criando um modelo usando a CreateModel API operação, a função de IAM execução usada para criar seu modelo deverá incluir as permissões descritas emCreateModel API: Permissões da função de execução, incluindo as seguintes permissões necessárias para um ambiente privadoVPC.

Ao criar um modelo no console, se você selecionar Criar uma nova função na seção Configurações do modelo, a AmazonSageMakerFullAccess política usada para criar a função já conterá essas permissões. Se você selecionar Inserir uma IAM função personalizada ARN ou Usar função existente, ARN a função especificada deverá ter uma política de execução anexada com as seguintes permissões.


{
            "Effect": "Allow",
            "Action": [
            "ec2:CreateNetworkInterface",
            "ec2:CreateNetworkInterfacePermission",
            "ec2:DeleteNetworkInterface",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeVpcs",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeSubnets",
            "ec2:DescribeSecurityGroups"

Configure seu Private VPC for SageMaker Batch Transform

Ao configurar o privado VPC para seus trabalhos de transformação SageMaker em lote, use as diretrizes a seguir. Para obter informações sobre como configurar umVPC, consulte Trabalho com VPCs e sub-redes no Guia VPC do usuário da Amazon.

Tópicos

Garanta que as sub-redes tenham endereços IP suficientes
Crie um endpoint Amazon S3 VPC
Use uma política de endpoint personalizada para restringir o acesso ao S3
Configurar tabelas de rotas
Configurar o grupo VPC de segurança
Conecte-se a recursos fora do seu VPC

Garanta que as sub-redes tenham endereços IP suficientes

Suas VPC sub-redes devem ter pelo menos dois endereços IP privados para cada instância em um trabalho de transformação. Para obter mais informações, consulte VPCe Dimensionamento de sub-rede IPv4 no Guia VPC do usuário da Amazon.

Crie um endpoint Amazon S3 VPC

Se você configurar seu modelo de VPC forma que os contêineres do modelo não tenham acesso à Internet, eles não poderão se conectar aos buckets do Amazon S3 que contêm seus dados, a menos que você crie um VPC endpoint que permita o acesso. Ao criar um VPC endpoint, você permite que seus contêineres de modelo acessem os buckets onde você armazena seus dados e artefatos do modelo. Recomendamos que você também crie uma política personalizada que permita que somente solicitações de sua conta privada VPC acessem seus buckets do S3. Para obter mais informações, consulte Endpoints para Amazon S3.

Para criar um VPC endpoint S3:

Abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/.
No painel de navegação, selecione Endpoints e Criar endpoint.
Em Nome do serviço, escolha com.amazonaws.region.s3, onde region é o nome da região em que você VPC reside.
Para VPC, escolha o VPC que você deseja usar para esse endpoint.
Para Configurar tabelas de rotas, selecione as tabelas de rotas a serem usadas pelo endpoint. O VPC serviço adiciona automaticamente uma rota a cada tabela de rotas selecionada que aponta qualquer tráfego do S3 para o novo endpoint.
Em Política, escolha Acesso total para permitir acesso total ao serviço S3 por qualquer usuário ou serviço dentro doVPC. Escolha Personalizar para restringir ainda mais o acesso. Para ter mais informações, consulte Use uma política de endpoint personalizada para restringir o acesso ao S3.

Use uma política de endpoint personalizada para restringir o acesso ao S3

A política de endpoint padrão permite acesso total ao S3 para qualquer usuário ou serviço em seu. VPC Para restringir ainda mais o acesso ao S3, crie uma política de endpoint personalizada. Para obter mais informações, consulte Usar políticas de endpoint para o Amazon S3. Você também pode usar uma política de bucket para restringir o acesso aos buckets do S3 somente ao tráfego proveniente da Amazon. VPC Para obter informações, consulte Usar as Políticas do Bucket do Amazon S3.

Restringir a instalação do pacote no contêiner do modelo

A política de endpoint padrão permite que os usuários instalem pacotes dos repositórios do Amazon Linux e do Amazon Linux 2 no contêiner de treinamento. Se você não deseja que os usuários instalem pacotes, crie uma política de endpoint personalizada que negue explicitamente o acesso a esses repositórios. Veja a seguir um exemplo de política que nega acesso somente a esses repositórios:


{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

Configurar tabelas de rotas

Use DNS as configurações padrão para sua tabela de rotas de endpoints, para que o Amazon URLs S3 padrão (por exemplohttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket,) resolva. Se você não usar DNS as configurações padrão, certifique-se de URLs que as usadas para especificar os locais dos dados em seus trabalhos de transformação em lote sejam resolvidas configurando as tabelas de rotas do endpoint. Para obter informações sobre tabelas de rotas de VPC endpoints, consulte Roteamento para endpoints de gateway no Guia do usuário da Amazon VPC.

Configurar o grupo VPC de segurança

Na transformação em lote distribuída, você deve permitir a comunicação entre os diferentes contêineres no mesmo trabalho de transformação em lote. Para fazer isso, configure uma regra para seu grupo de segurança que permita conexões de entrada e saída entre membros do mesmo grupo de segurança. Membros do mesmo grupo de segurança devem ser capazes de se comunicar entre eles em todas as portas. Para obter mais informações, consulte Regras de grupos de segurança.

Conecte-se a recursos fora do seu VPC

Se você configurar seu VPC para que ele não tenha acesso à Internet, transforme em lote os trabalhos que usam que VPC não têm acesso a recursos fora do seuVPC. Se seu trabalho de transformação em lote precisar acessar recursos fora do seuVPC, forneça acesso com uma das seguintes opções:

Se sua tarefa de transformação em lote precisar acessar um AWS serviço que ofereça suporte a VPC endpoints de interface, crie um endpoint para se conectar a esse serviço. Para obter uma lista de serviços que oferecem suporte a endpoints de interface, consulte VPCEndpoints no Guia VPCdo usuário da Amazon. Para obter informações sobre a criação de um VPC endpoint de interface, consulte Interface VPC Endpoints (AWS PrivateLink) no Guia VPCdo usuário da Amazon.
Se sua tarefa de transformação em lote precisar acessar um AWS serviço que não ofereça suporte a VPC endpoints de interface ou a um recurso externo AWS, crie um NAT gateway e configure seus grupos de segurança para permitir conexões de saída. Para obter informações sobre como configurar um NAT gateway para vocêVPC, consulte Cenário 2: VPC com sub-redes públicas e privadas (NAT) no Guia do usuário da Amazon Virtual Private Cloud.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Dê aos endpoints SageMaker hospedados acesso aos recursos em sua Amazon VPC

Dê à Amazon SageMaker Clarify Jobs acesso a recursos em sua Amazon VPC