Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Dê aos endpoints hospedados por SageMaker IA acesso aos recursos em sua Amazon VPC

PDF
RSS
Modo de foco
Dê aos endpoints hospedados por SageMaker IA acesso aos recursos em sua Amazon VPC - SageMaker IA da Amazon
Configurar um modelo para acesso à Amazon VPCConfigure sua VPC privada para SageMaker hospedagem de IA

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar um modelo para acesso à Amazon VPC

Para especificar sub-redes e grupos de segurança em sua VPC privada, use o parâmetro de VpcConfig solicitação da CreateModelAPI ou forneça essas informações ao criar um modelo no console de IA. SageMaker SageMaker A IA usa essas informações para criar interfaces de rede e anexá-las aos seus contêineres de modelo. As interfaces de rede concedem aos contêineres de modelo uma conexão de rede na sua VPC, sem acesso à Internet. Além disso, permitem que o modelo conecte-se aos recursos da VPC privada.

nota

Você deve criar pelo menos duas sub-redes em diferentes zonas de disponibilidade na sua VPC privada, mesmo se tiver apenas uma instância de hospedagem.

Veja a seguir um exemplo do parâmetro VpcConfig incluído na sua chamada para CreateModel.

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }

Configure sua VPC privada para SageMaker hospedagem de IA

Ao configurar a VPC privada para SageMaker seus modelos de IA, use as diretrizes a seguir. Para obter informações sobre como configurar uma VPC, consulte Trabalho com VPCs e sub-redes no Guia do usuário da Amazon VPC.

Certifique-se de que as sub-redes tenham endereços IP suficientes

As instâncias de treinamento que não usam um Elastic Fabric Adapter (EFA) devem ter pelo menos dois endereços IP privados. As instâncias de treinamento que não usam um EFA devem ter pelo menos cinco endereços IP privados. Para obter mais informações, consulte Vários endereços IP no Guia do EC2 usuário da Amazon.

Criar um endpoint da VPC para o Amazon S3

Se você configurar sua VPC para que os contêineres de modelos não tenham acesso à Internet, eles não poderão se conectar aos buckets do Amazon S3 que contêm os dados, a menos que você crie um endpoint de VPC que permita o acesso. Ao criar um endpoint de VPC, você permite que seus contêineres de modelo acessem os buckets em que você armazena seus dados e artefatos de modelo. Recomendamos que você também crie uma política personalizada para que apenas solicitações da sua VPC privada acessem os buckets do S3. Para obter mais informações, consulte Endpoints para Amazon S3.

Para criar um endpoint de VPC do Amazon S3:

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Endpoints e Criar endpoint.

  3. Em Nome do serviço, escolha com.amazonaws. region.s3, onde region está o nome da AWS região em que sua VPC reside.

  4. Em VPC, escolha a VPC que você deseja usar para esse endpoint.

  5. Para Configurar tabelas de rotas, selecione as tabelas de rotas que o endpoint usará. O serviço VPC adiciona automaticamente uma rota a cada tabela de rotas selecionada que aponta o tráfego do Amazon S3 para o novo endpoint.

  6. Em Política, escolha Acesso total para permitir acesso total ao serviço do Amazon S3 por qualquer usuário ou serviço dentro da VPC. Para restringir ainda mais o acesso, escolha Personalizar. Para obter mais informações, consulte Usar uma política de endpoint personalizada para restringir o acesso ao Amazon S3.

Usar uma política de endpoint personalizada para restringir o acesso ao Amazon S3

A política de endpoint padrão permite acesso total ao Amazon Simple Storage Service (Amazon S3) para qualquer usuário ou serviço em sua VPC. Para restringir ainda mais o acesso ao Amazon S3, crie uma política de endpoint personalizada. Para obter mais informações, consulte Usar políticas de endpoint para o Amazon S3.

Você também pode usar uma política de buckets para restringir o acesso aos seus buckets do S3 somente ao tráfego proveniente da sua Amazon VPC. Para obter informações, consulte Usar as Políticas do Bucket do Amazon S3.

Restringir a instalação do pacote no contêiner de modelo com uma política de endpoint personalizada

A política de endpoint padrão permite que os usuários instalem pacotes dos repositórios do Amazon Linux e do Amazon Linux 2 no contêiner de modelo. Se você não deseja que os usuários instalem pacotes desses repositórios, crie uma política de endpoint personalizada que negue explicitamente o acesso aos repositórios do Amazon Linux e Amazon Linux 2. Veja a seguir um exemplo de política que nega acesso somente a esses repositórios:

{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

Adicionar permissões para acesso ao endpoint para contêineres em execução em uma VPC para políticas personalizadas do IAM

A política gerenciada SageMakerFullAccess inclui as permissões que você precisa para usar modelos configurados para acesso à Amazon VPC com um endpoint. Essas permissões permitem que a SageMaker IA crie uma interface de rede elástica e a anexe a contêineres de modelo executados em uma VPC. Se usar sua própria política do IAM, você deverá adicionar as seguintes permissões a essa política para usar modelos configurados para acesso à VPC: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface"
            ],
            "Resource": "*"
        }
    ]
}

Para obter mais informações sobre a política gerenciada SageMakerFullAccess, consulte AWS política gerenciada: AmazonSageMakerFullAccess.

Configurar tabelas de rotas

Use as configurações de DNS padrão para sua tabela de rotas de endpoints, para que o Amazon URLs S3 padrão (por exemplohttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket,) resolva. Se você não usar as configurações de DNS padrão, certifique-se de que as URLs que você usa para especificar os locais dos dados em seus modelos sejam resolvidas configurando as tabelas de rotas do endpoint. Para obter informações sobre as tabelas de rotas de endpoints da VPC, consulte Roteamento para endpoints do gateway no Guia do usuário da Amazon VPC.

Conectar-se a recursos fora de sua VPC

Se você configurar a VPC para que não tenha acesso à Internet, os modelos que a utilizam não terão acesso a recursos externos. Se o seu modelo precisarem acessar recursos fora da VPC, conceda o acesso com uma das seguintes opções:

  • Se seu modelo precisar acessar um AWS serviço que ofereça suporte a endpoints VPC de interface, crie um endpoint para se conectar a esse serviço. Para obter uma lista dos serviços compatíveis com endpoints de interface, consulte Endpoint de VPCs no Guia do usuário da Amazon VPC. Para obter informações sobre a criação de uma interface VPC endpoint, consulte Interface VPC Endpoints () no Guia do usuário AWS PrivateLink da Amazon VPC.

  • Se seu modelo precisar acessar um AWS serviço que não ofereça suporte a endpoints VPC de interface ou a um recurso externo AWS, crie um gateway NAT e configure seus grupos de segurança para permitir conexões de saída. Para obter informações sobre como configurar um gateway NAT para sua VPC, consulte Cenário 2: VPC com sub-redes pública e privada (NAT) no Guia do usuário da Amazon Virtual Private Cloud.

Nesta página

Related resources

Amazon SageMaker AI Referência da API
AWS CLI comandos para Amazon SageMaker AI
SDKs e ferramentas 

Related resources

Amazon SageMaker AI Referência da API
AWS CLI comandos para Amazon SageMaker AI
SDKs e ferramentas 
PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.