Dê aos trabalhos SageMaker de compilação acesso aos recursos em sua Amazon VPC - Amazon SageMaker
Configurar um Job de compilação para o Amazon Access VPCConfigure seu Private VPC para SageMaker compilação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Dê aos trabalhos SageMaker de compilação acesso aos recursos em sua Amazon VPC

nota

Para trabalhos de compilação, você pode configurar somente sub-redes com uma locação padrão VPC na qual seu trabalho é executado em hardware compartilhado. Para obter mais informações sobre o atributo de locação paraVPCs, consulte Instâncias dedicadas.

Configurar um Job de compilação para o Amazon Access VPC

Para especificar sub-redes e grupos de segurança em sua conta privadaVPC, use o parâmetro de VpcConfig solicitação do CreateCompilationJobAPIou forneça essas informações ao criar um trabalho de compilação no console. SageMaker SageMaker O Neo usa essas informações para criar interfaces de rede e anexá-las aos seus trabalhos de compilação. As interfaces de rede fornecem trabalhos de compilação com uma conexão de rede dentro da sua VPC que não está conectada à Internet. Eles também permitem que seu trabalho de compilação se conecte a recursos em sua privacidadeVPC. Veja a seguir um exemplo do parâmetro VpcConfig incluído na sua chamada para CreateCompilationJob:

VpcConfig: {"Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

Configure seu Private VPC para SageMaker compilação

Ao configurar o privado VPC para seus trabalhos de SageMaker compilação, use as diretrizes a seguir. Para obter informações sobre como configurar umVPC, consulte Trabalho com VPCs e sub-redes no Guia VPC do usuário da Amazon.

Garanta que as sub-redes tenham endereços IP suficientes

Suas VPC sub-redes devem ter pelo menos dois endereços IP privados para cada instância em um trabalho de compilação. Para obter mais informações, consulte VPCe Dimensionamento de sub-rede IPv4 no Guia VPC do usuário da Amazon.

Crie um endpoint Amazon S3 VPC

Se você configurar o seu VPC para bloquear o acesso à Internet, o SageMaker Neo não poderá se conectar aos buckets do Amazon S3 que contêm seus modelos, a menos que você crie um VPC endpoint que permita o acesso. Ao criar um VPC endpoint, você permite que seus trabalhos de compilação do SageMaker Neo acessem os buckets onde você armazena seus dados e artefatos do modelo. Recomendamos que você também crie uma política personalizada que permita que somente solicitações de sua conta privada VPC acessem seus buckets do S3. Para obter mais informações, consulte Endpoints para Amazon S3.

Para criar um VPC endpoint S3:

  1. Abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Endpoints e Criar endpoint.

  3. Em Nome do serviço, pesquise com.amazonaws.region.s3, onde region é o nome da região em que você VPC reside.

  4. Escolha o tipo de gateway.

  5. Para VPC, escolha o VPC que você deseja usar para esse endpoint.

  6. Para Configurar tabelas de rotas, selecione as tabelas de rotas a serem usadas pelo endpoint. O VPC serviço adiciona automaticamente uma rota a cada tabela de rotas selecionada que aponta qualquer tráfego do S3 para o novo endpoint.

  7. Em Política, escolha Acesso total para permitir acesso total ao serviço S3 por qualquer usuário ou serviço dentro doVPC. Escolha Personalizar para restringir ainda mais o acesso. Para ter mais informações, consulte Use uma política de endpoint personalizada para restringir o acesso ao S3.

Use uma política de endpoint personalizada para restringir o acesso ao S3

A política de endpoint padrão permite acesso total ao S3 para qualquer usuário ou serviço em seu. VPC Para restringir ainda mais o acesso ao S3, crie uma política de endpoint personalizada. Para obter mais informações, consulte Usar políticas de endpoint para o Amazon S3. Você também pode usar uma política de bucket para restringir o acesso aos buckets do S3 somente ao tráfego proveniente da Amazon. VPC Para obter informações, consulte Usar as Políticas do Bucket do Amazon S3. Veja a seguir um exemplo de política personalizada:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::your-sample-bucket",
                "arn:aws:s3:::your-sample-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "aws:SourceVpce": [
                        "vpce-01234567890123456"
                    ]
                }
            }
        }
    ]
}

Adicione permissões para execução de trabalhos de compilação em execução em uma Amazon VPC às políticas personalizadas IAM

A política SageMakerFullAccess gerenciada inclui as permissões necessárias para usar modelos configurados para VPC acesso à Amazon com um endpoint. Essas permissões permitem que SageMaker o Neo crie uma interface de rede elástica e a anexe ao trabalho de compilação executado em uma AmazonVPC. Se você usa sua própria IAM política, deve adicionar as seguintes permissões a essa política para usar modelos configurados para VPC acesso à Amazon.

{"Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}

Para obter mais informações sobre a política gerenciada SageMakerFullAccess, consulte AWS política gerenciada: AmazonSageMakerFullAccess.

Configurar tabelas de rotas

Use DNS as configurações padrão para sua tabela de rotas de endpoints, para que o Amazon URLs S3 padrão (por exemplohttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket,) resolva. Se você não usar DNS as configurações padrão, certifique-se de URLs que as usadas para especificar os locais dos dados em seus trabalhos de compilação sejam resolvidas configurando as tabelas de rotas do endpoint. Para obter informações sobre tabelas de rotas de VPC endpoints, consulte Roteamento para endpoints de gateway no Guia do usuário da Amazon VPC.

Configurar o grupo VPC de segurança

Em seu grupo de segurança para o trabalho de compilação, você deve permitir a comunicação de saída com seus endpoints Amazon S3 da VPC Amazon e os intervalos de CIDR sub-rede usados para o trabalho de compilação. Para obter informações, consulte Regras de grupos de segurança e controle de acesso a serviços com VPC endpoints da Amazon.