本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Connect SageMaker 到您的 VPC
您可以透過虛擬私有雲 (VPC) 中的介面端點直接連線至 SageMaker API或 Amazon SageMaker Runtime,而不是透過網際網路連線。當您使用VPC介面端點時,您VPC和 SageMakerAPI或執行階段之間的通訊會完全且安全地在 AWS 網絡。
SageMaker 透過VPC介面端點 Connect
SageMaker API和 SageMaker 運行時支持由支持的 Amazon Virtual Private Cloud(AmazonVPC)界面端點 AWS PrivateLink
接VPC口端點VPC直接連接到 SageMaker API或 SageMaker 運行時使用 AWS PrivateLink 無需使用互聯網閘道,NAT設備,VPN連接或 AWS Direct Connect 連接。您中的實例VPC不需要連接到公共互聯網即可與 SageMaker API或 SageMaker 運行時進行通信。
您可以建立 AWS PrivateLink 接口端點連接到 SageMaker 或使用 SageMaker運行時 AWS Management Console 或 AWS Command Line Interface (AWS CLI). 如需指示,請參閱存取 AWS 使用接口VPC端點的服務。
如果您尚未為VPC端點啟用私人網域名稱系統 (DNS) 主機名稱,請在建立VPC端點之後,將網際網路端點指定URL給 SageMaker API或 SageMaker 執行階段。示例代碼使用 AWS CLI 用於指定endpoint-url參數的指令如下。
aws sagemaker list-notebook-instances --endpoint-urlVPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker list-training-jobs --endpoint-urlVPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \ --endpoint-nameEndpoint_Name\ --body "Endpoint_Body" \ --content-type "Content_Type" \Output_File
如果您為VPC端點啟用私人DNS主機名稱,則不需要指定端點,URL因為預設主機名稱 (https://api.sagemaker.Region. 亞馬遜) 解析為您的端點。VPC同樣地,預設的 SageMaker 執行階段DNS主機名稱 (https://runtime.sagemaker.Region.amazonaws.com) 也會解析為您的端點。VPC
SageMaker API和 SageMaker 運行時支持所有VPC端點 AWS 區域 Amazon VPC 和SageMaker戰神都可用的地方。 SageMaker 支持撥打所有其Operations內部的VPC. 如果您使用AuthorizedUrl來自
CreatePresignedNotebookInstanceUrl命令,您的流量將通過公共互聯網。您不僅可以使用VPC端點來存取預先簽署URL,而且要求必須透過網際網路閘道進行。
根據預設,您的使用者可以將預先簽署檔案共用URL給公司網路以外的人員。為了提高安全性,您必須添加IAM權限以限制URL只能在您的網絡中使用。如需IAM權限的相關資訊,請參閱如何 AWS PrivateLink 一起工作IAM。
注意
為 SageMaker 執行階段服務設定VPC介面端點時 (https://runtime.sagemaker. Region
進一步了解 AWS PrivateLink,請參閱 AWS PrivateLink 文件。請參閱 AWS PrivateLink VPC端點價格的定
使用 SageMaker 培訓和託管與您內部的資源 VPC
SageMaker 使用您的執行角色,從 Amazon S3 儲存貯體和 Amazon 彈性容器登錄 (AmazonECR) 下載和上傳資訊,與訓練或推論容器隔離。如果您的資源位於您的內部VPC,您仍然可以授予這些資源的 SageMaker 存取權。以下各節說明如何讓您的資源可用於有或沒有網路隔離的情況下。 SageMaker
未啟用網路隔離
如果您尚未在訓練工作或模型上設定網路隔離,則 SageMaker 可以使用下列其中一種方法存取資源。
-
SageMaker 根據預設,訓練和部署的推論容器可以存取網際網路。 SageMaker 作為訓練和推論工作負載的一部分,容器可以存取公用網際網路上的外部服務和資源。 SageMaker 如果沒有VPC配置,容器將VPC無法訪問內部的資源,如下圖所示。
-
使用VPC配置通VPC過 elastic network interface(ENI)與內部的資源進行通信。容器與資源之間的通訊VPC會安全地在您的VPC網路中進行,如下圖所示。在這種情況下,您可以管理對資VPC源和 Internet 的網絡訪問。
有網路隔離
如果您採用網路隔離, SageMaker 容器將無法與您內部的資源通訊VPC或進行任何網路呼叫,如下圖所示。如果您提供VPC配置,則下載和上傳操作將通過您的VPC. 如需有關在使用時透過網路隔離進行託管和訓練的詳細資訊VPC,請參閱網路隔離。
建立VPC端點策略 SageMaker
您可以為 Amazon VPC 端點建立政策, SageMaker 以指定下列項目:
-
可執行動作的主體。
-
可執行的動作。
-
可供執行動作的資源。
如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用VPC端點控制對服務的存取。
注意
VPC聯邦資訊處理標準 (FIPS) SageMaker 執行階段端點不支援端點原則 runtime_InvokeEndpoint.
下列範例VPC端點策略指定允許所有具有VPC介面端點存取權的使用者呼叫名為的 SageMaker 託管端點myEndpoint。
{ "Statement": [ { "Action": "sagemaker:InvokeEndpoint", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint", "Principal": "*" } ] }
在這個範例中,拒絕以下各項:
-
其他 SageMaker API動作,例如
sagemaker:CreateEndpoint和sagemaker:CreateTrainingJob。 -
呼叫. 以
myEndpoint外的 SageMaker 託管端點。
注意
在此範例中,使用者仍然可以從外部 SageMaker API執行其他動作VPC。如需有關如何限制API呼叫的資訊VPC,請參閱使用以身分識別為基 SageMaker API礎的原則控制對。
為 Amazon SageMaker 功能商店創建VPC端點策略
要為 Amazon SageMaker 功能商店創建VPC端點,請使用以下端點模板替換您的 VPC_Endpoint_ID.api 以及 Region:
VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com
Connect 您的私人網路連線到您的 VPC
要通過您的調用 SageMaker API和 SageMaker 運行時VPC,您必須從內部的實例進行連接VPC或使用將您的私人網絡連VPC接到您的 AWS Virtual Private Network (AWS VPN) 或 AWS Direct Connect。 有關信息 AWS VPN,請參閱 Amazon Virtual Private Cloud 使用者指南中的VPN連線。有關信息 AWS Direct Connect,請參閱「」中的「建立連線」AWS 直接 Connect 用戶指南。
