本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
讓 SageMaker 編譯任務存取 Amazon 中的資源 VPC
注意
對於編譯任務,您只能設定在共用硬體上執行VPC任務的預設租用子網路。如需 租用屬性的詳細資訊VPCs,請參閱專用執行個體 。
設定 Amazon VPC Access 的編譯任務
若要在私有 中指定子網路和安全群組VPC,請使用 CreateCompilationJob
的VpcConfig
請求參數API,或在 SageMaker 主控台中建立編譯任務時提供此資訊。 SageMaker Neo 會使用此資訊來建立網路介面,並將其連接至編譯任務。網路介面會在您的 內提供VPC未連線至網際網路的網路連線的編譯任務。它們也可讓您的編譯任務連線到私有 中的資源VPC。以下為您包含在對 VpcConfig
的呼叫內的 CreateCompilationJob
參數的範例:
VpcConfig: {"Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] }
設定您的私有 VPC 進行 SageMaker 編譯
VPC 為 SageMaker 編譯任務設定私有時,請使用下列準則。如需設定 的相關資訊VPC,請參閱 Amazon VPC使用者指南 中的使用 VPCs和 子網路。
確保子網路擁有充足的 IP 地址
您的VPC子網路在編譯任務中的每個執行個體應至少有兩個私有 IP 地址。如需詳細資訊,請參閱 Amazon VPC使用者指南 中的 VPC和 的子網路大小IPv4調整。
建立 Amazon S3 VPC端點
如果您VPC將 設定為封鎖對網際網路的存取,除非您建立允許存取的VPC端點,否則 SageMaker Neo 無法連線至包含模型的 Amazon S3 儲存貯體。透過建立VPC端點,您可以允許 SageMaker Neo 編譯任務存取儲存資料和模型成品的儲存貯體。我們建議您也建立自訂政策,僅允許來自私有VPC的請求存取 S3 儲存貯體。如需更多資訊,請參閱 Amazon S3 的端點。
若要建立 S3 VPC端點:
-
在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中,選擇端點,然後選擇建立端點
-
針對服務名稱 ,搜尋 com.amazonaws。
region
.s3,其中region
是 VPC所在區域的名稱。 -
選擇閘道類型。
-
針對 VPC,選擇VPC您要用於此端點的 。
-
針對設定路由表,選取要供端點使用的路由表。VPC 服務會自動將路由新增至您選擇的每個路由表,將任何 S3 流量指向新的端點。
-
針對政策 ,選擇完整存取,以允許 內的任何使用者或服務完整存取 S3 服務VPC。選擇自訂,以進一步限制存取權。如需相關資訊,請參閱 使用自訂端點政策來限制存取 S3。
使用自訂端點政策來限制存取 S3
預設端點政策允許 中任何使用者或服務的完整存取 S3VPC。若要進一步限制存取 S3,請建立自訂端點政策。如需詳細資訊,請參 Amazon S3 使用端點政策。您也可以使用儲存貯體政策,將對 S3 儲存貯體的存取限制為僅來自 Amazon 的流量VPC。如需資訊,請參閱使用 Amazon S3 儲存貯體政策。以下是自訂政策範例:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": "s3:GetObject", "Resource": [ "
arn:aws:s3:::your-sample-bucket
", "arn:aws:s3:::your-sample-bucket/*
" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": [ "vpce-01234567890123456" ] } } } ] }
將 Amazon 中執行的編譯任務許可VPC新增至自訂IAM政策
SageMakerFullAccess
受管政策包含使用為 Amazon VPC存取設定之模型與端點所需的許可。這些許可允許 SageMaker Neo 建立彈性網路介面,並將其連接到在 Amazon 中執行的編譯任務VPC。如果您使用自己的IAM政策,則必須將下列許可新增至該政策,才能使用為 Amazon VPC存取設定的模型。
{"Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "ec2:DescribeVpcEndpoints", "ec2:DescribeDhcpOptions", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "*" } ] }
如需 SageMakerFullAccess
受管政策的更多相關資訊,請參閱AWS 受管政策: AmazonSageMakerFullAccess。
設定路由表
使用端點路由表的DNS預設設定,讓標準 Amazon S3 URLs(例如 http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket
) 解析。如果您不使用DNS預設設定,請確定URLs您用來指定編譯任務中資料位置的 是透過設定端點路由表來解析。如需VPC端點路由表的相關資訊,請參閱 Amazon VPC使用者指南 中的閘道端點路由。
設定VPC安全群組
在編譯任務的安全群組中,您必須允許與 Amazon S3 Amazon VPC端點和用於編譯任務的子網路CIDR範圍進行傳出通訊。如需詳細資訊,請參閱 安全群組規則和控制使用 Amazon VPC端點存取 服務。