本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
連線至 SageMaker 內部 VPC
您可以透過虛擬私有雲端 SageMaker API(VPC) 中的介面端點直接連線至 或 Amazon SageMaker Runtime,而不是透過網際網路連線。當您使用VPC介面端點時,您的 VPC與 SageMakerAPI或 Runtime 之間的通訊會在 AWS 網路內完全安全地執行。
SageMaker 透過VPC介面端點連線至
和 SageMaker Runtime SageMaker API支援由 支援的 Amazon Virtual Private Cloud (AmazonVPC) 介面端點AWS PrivateLink
VPC 介面端點會使用 VPC直接連線至 SageMaker API或 SageMaker Runtime, AWS PrivateLink 而無需使用網際網路閘道、NAT裝置、VPN連線或 AWS Direct Connect 連線。您 中的執行個體VPC不需要連線至公有網際網路,即可與 SageMaker API或 SageMaker Runtime 通訊。
您可以使用 SageMaker 或 AWS Command Line Interface () 建立 AWS PrivateLink 介面端點以連線至 SageMaker AWS Management Console 或 執行期AWS CLI。如需指示,請參閱使用介面VPC端點 存取 AWS 服務。
如果您尚未為VPC端點啟用私有網域名稱系統 (DNS) 主機名稱,請在建立VPC端點 之後,將網際網路端點指定URL為 SageMaker API或 SageMaker Runtime。使用 AWS CLI 命令來指定endpoint-url參數的範例程式碼如下。
aws sagemaker list-notebook-instances --endpoint-urlVPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker list-training-jobs --endpoint-urlVPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \ --endpoint-nameEndpoint_Name\ --body "Endpoint_Body" \ --content-type "Content_Type" \Output_File
如果您為VPC端點啟用私有DNS主機名稱,則不需要指定端點,URL因為預設主機名稱 (https://api.sagemaker.://Region.amazon.com) 會解析至您的VPC端點。同樣地,預設 SageMaker 執行期DNS主機名稱 (https://runtime.sagemaker.Region.amazonaws.com) 也會解析為您的VPC端點。
和 SageMaker Runtime SageMaker API支援 Amazon VPC AWS 區域 和 SageMaker 皆可使用的所有 VPC 端點。 SageMaker 支援呼叫 Operations內的所有 VPC。如果您使用AuthorizedUrl來自 的
CreatePresignedNotebookInstanceUrl 命令,您的流量會透過公有網際網路。您無法僅使用VPC端點來存取預先簽章的 URL,請求必須通過網際網路閘道。
根據預設,您的使用者可以將預先簽章的 分享URL給公司網路以外的人員。為了提高安全性,您必須新增IAM許可,以限制 URL 只能在網路中使用。如需IAM許可的相關資訊,請參閱如何使用 AWS PrivateLink IAM。
注意
為 SageMaker 執行期服務 (https://runtime.sagemaker.Region
若要進一步了解 AWS PrivateLink,請參閱 AWS PrivateLink 文件 。如需VPC端點的價格,請參閱AWS PrivateLink 定價
將 SageMaker 訓練和託管與 內部的資源搭配使用 VPC
SageMaker 使用您的執行角色從 Amazon S3 儲存貯體和 Amazon Elastic Container Registry (Amazon ECR) 下載和上傳資訊,與您的訓練或推論容器分開。如果您的 資源位於 內VPC,您仍然可以授予這些資源的 SageMaker 存取權。下列各節說明如何在 SageMaker 有或沒有網路隔離的情況下,將 資源提供給 。
未啟用網路隔離
如果您尚未在訓練任務或模型上設定網路隔離, SageMaker 可以使用下列其中一種方法存取資源。
-
SageMaker 訓練和部署的推論容器預設可以存取網際網路。 SageMaker 容器可以在公有網際網路上存取外部服務和資源,作為訓練和推論工作負載的一部分。 SageMaker 容器無法在VPC沒有VPC組態的情況下存取 內部的資源,如下圖所示。
-
使用VPC組態VPC透過彈性網路介面 () 與 內部的資源通訊ENI。容器與 中的 資源之間的通訊VPC會在您的VPC網路內安全進行,如下圖所示。在這種情況下,您可以管理VPC資源和網際網路的網路存取。
有網路隔離
如果您使用網路隔離, SageMaker 容器無法與 內部的資源通訊VPC或進行任何網路呼叫,如下圖所示。如果您提供VPC組態,下載和上傳操作將透過您的 執行VPC。如需在使用 時以網路隔離託管和訓練的詳細資訊VPC,請參閱 網路隔離。
建立 的VPC端點政策 SageMaker
您可以為 建立 Amazon VPC端點的政策, SageMaker 以指定下列項目:
-
可執行動作的主體。
-
可執行的動作。
-
可供執行動作的資源。
如需詳細資訊,請參閱 Amazon VPC使用者指南 中的使用VPC端點控制對服務的存取。
注意
VPC 的聯邦資訊處理標準 (FIPS) SageMaker 執行期端點不支援端點政策 runtime_InvokeEndpoint.
下列範例VPC端點政策指定所有有權存取VPC介面端點的使用者都可以叫用名為 的 SageMaker 託管端點myEndpoint。
{ "Statement": [ { "Action": "sagemaker:InvokeEndpoint", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint", "Principal": "*" } ] }
在這個範例中,拒絕以下各項:
-
其他 SageMaker API動作,例如
sagemaker:CreateEndpoint和sagemaker:CreateTrainingJob。 -
叫用 以外的 SageMaker 託管端點
myEndpoint。
注意
在此範例中,使用者仍可從 外部採取其他 SageMaker API動作VPC。如需如何限制來自 的API呼叫,VPC請參閱 使用身分型政策控制對 的 SageMaker API存取。
建立 Amazon SageMaker Feature Store 的VPC端點政策
若要建立 Amazon SageMaker Feature Store 的VPC端點,請使用下列端點範本來取代您的 VPC_Endpoint_ID.api 以及 Region:
VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com
將您的私有網路連接至您的 VPC
若要透過 呼叫 和 SageMaker RuntimeVPC,您必須從 內部的執行個體連線,VPC或使用 SageMaker APIVPC AWS Virtual Private Network (AWS VPN) 或 將私有網路連線至您的 AWS Direct Connect。如需 的相關資訊 AWS VPN,請參閱 Amazon Virtual Private Cloud 使用者指南 中的VPN連線。如需 的相關資訊 AWS Direct Connect,請參閱 AWS Direct Connect 使用者指南中的建立連線。
