Dê aos trabalhos de compilação de SageMaker IA acesso aos recursos em sua Amazon VPC - SageMaker IA da Amazon
Configurar um trabalho de compilação para acesso à Amazon VPCConfigure sua VPC privada para SageMaker compilação de IA

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Dê aos trabalhos de compilação de SageMaker IA acesso aos recursos em sua Amazon VPC

nota

Para trabalhos de compilação, você pode configurar apenas sub-redes com uma VPC de locação padrão em que seu trabalho é executado em hardware compartilhado. Para obter mais informações sobre o atributo de locação para VPCs, consulte Instâncias dedicadas.

Configurar um trabalho de compilação para acesso à Amazon VPC

Para especificar sub-redes e grupos de segurança em sua VPC privada, use o parâmetro de VpcConfig solicitação da CreateCompilationJobAPI ou forneça essas informações ao criar um trabalho de compilação no console de IA. SageMaker SageMaker O AI Neo usa essas informações para criar interfaces de rede e anexá-las às suas tarefas de compilação. As interfaces de rede concedem aos trabalhos de compilação uma conexão de rede na sua VPC, sem acesso à Internet. Além disso, permitem que o trabalho de compilação conecte-se aos recursos da VPC privada. Veja a seguir um exemplo do parâmetro VpcConfig incluído na sua chamada para CreateCompilationJob.

VpcConfig: {"Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

Configure sua VPC privada para SageMaker compilação de IA

Ao configurar a VPC privada para SageMaker seus trabalhos de compilação de IA, use as diretrizes a seguir. Para obter informações sobre como configurar uma VPC, consulte Trabalho com VPCs e sub-redes no Guia do usuário da Amazon VPC.

Certifique-se de que as sub-redes tenham endereços IP suficientes

As sub-redes da VPC devem ter pelo menos dois endereços IP privados para cada instância em um trabalho de compilação. Para obter mais informações, consulte Dimensionamento de VPC e sub-rede no Guia do usuário IPv4 da Amazon VPC.

Criar um endpoint da VPC para o Amazon S3

Se você configurar sua VPC para bloquear o acesso à Internet, o SageMaker Neo não poderá se conectar aos buckets do Amazon S3 que contêm seus modelos, a menos que você crie um endpoint de VPC que permita acesso. Ao criar um VPC endpoint, você permite que seus trabalhos de compilação SageMaker Neo acessem os buckets onde você armazena seus dados e artefatos de modelo. Recomendamos que você também crie uma política personalizada para que apenas solicitações da sua VPC privada acessem os buckets do S3. Para obter mais informações, consulte Endpoints para Amazon S3.

Criação de um endpoint da VPC do S3

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Endpoints e Criar endpoint.

  3. Em Nome do serviço, pesquise com.amazonaws. region.s3, onde region está o nome da região em que sua VPC reside.

  4. Escolha o tipo de gateway.

  5. Em VPC, escolha a VPC que você deseja usar para esse endpoint.

  6. Para Configurar tabelas de rotas, selecione as tabelas de rotas a serem usadas pelo endpoint. O serviço VPC adiciona automaticamente uma rota a cada tabela de rotas selecionada que aponta qualquer tráfego do S3 para o novo endpoint.

  7. Em Política, escolha Acesso total para permitir acesso total ao serviço do S3 por qualquer usuário ou serviço dentro da VPC. Escolha Personalizar para restringir ainda mais o acesso. Para ter mais informações, consulte Use uma política de endpoint personalizada para restringir o acesso ao S3.

Use uma política de endpoint personalizada para restringir o acesso ao S3

A política de endpoint padrão permite acesso total ao S3 para qualquer usuário ou serviço em sua VPC. Para restringir ainda mais o acesso ao S3, crie uma política de endpoint personalizada. Para obter mais informações, consulte Usar políticas de endpoint para o Amazon S3. Você também pode usar uma política de buckets para restringir o acesso aos seus buckets do S3 somente ao tráfego proveniente da sua Amazon VPC. Para obter informações, consulte Usar as Políticas do Bucket do Amazon S3. Veja a seguir um exemplo de política personalizada:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::your-sample-bucket",
                "arn:aws:s3:::your-sample-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "aws:SourceVpce": [
                        "vpce-01234567890123456"
                    ]
                }
            }
        }
    ]
}

Adicione permissões para trabalhos de compilação em execução em uma Amazon VPC para políticas personalizadas do IAM

A política gerenciada SageMakerFullAccess inclui as permissões que você precisa para usar modelos configurados para acesso à Amazon VPC com um endpoint. Essas permissões permitem que SageMaker o Neo crie uma interface de rede elástica e a anexe ao trabalho de compilação executado em uma Amazon VPC. Se usar sua própria política do IAM, você deverá adicionar as seguintes permissões a essa política para usar modelos configurados para acesso à Amazon VPC:

{"Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}

Para obter mais informações sobre a política gerenciada SageMakerFullAccess, consulte AWS política gerenciada: AmazonSageMakerFullAccess.

Configurar tabelas de rotas

Use as configurações de DNS padrão para sua tabela de rotas de endpoints, para que o Amazon URLs S3 padrão (por exemplohttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket,) resolva. Se você não usar as configurações de DNS padrão, certifique-se de que as URLs que você usa para especificar os locais dos dados em seus trabalhos de compilação sejam resolvidas configurando as tabelas de rotas do endpoint. Para obter informações sobre as tabelas de rotas de endpoints da VPC, consulte Roteamento para endpoints do gateway no Guia do usuário da Amazon VPC.

Configuração do grupo de segurança da VPC

Em seu grupo de segurança para o trabalho de compilação, você deve permitir a comunicação externa com seus endpoints da Amazon VPC do Amazon S3 e os intervalos CIDR da sub-rede usados para o trabalho de compilação. Para obter mais informações, consulte as Regras de grupos de segurança e Controlar o acesso a serviços com endpoints da Amazon VPC.