Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Geben Sie SageMaker KI-gehosteten Endpunkten Zugriff auf Ressourcen in Ihrer Amazon VPC
<a name="host-vpc"></a>

## Ein Modell für Amazon VPC Access konfigurieren
<a name="host-vpc-configure"></a>

Um Subnetze und Sicherheitsgruppen in Ihrer privaten VPC anzugeben, verwenden Sie den `VpcConfig` Anforderungsparameter der [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)API oder geben Sie diese Informationen an, wenn Sie ein Modell in der SageMaker AI-Konsole erstellen. SageMaker KI verwendet diese Informationen, um Netzwerkschnittstellen zu erstellen und sie an Ihre Modellcontainer anzuhängen. Die Netzwerkschnittstellen stellen Ihren Modellcontainern eine Netzwerkverbindung innerhalb Ihrer VPC zur Verfügung, die nicht mit dem Internet verbunden ist. Außerdem kann Ihr Modell auf diese Weise eine Verbindung zu Ressourcen in Ihrer privaten VPC herstellen.

**Anmerkung**  
Sie müssen mindestens zwei Subnetze in verschiedenen Availability Zones in Ihrer privaten VPC erstellen, auch wenn Sie nur eine Hosting-Instance haben.

Im Folgenden sehen Sie ein Beispiel des Parameters `VpcConfig`, den Sie in Ihrem Aufruf zu `CreateModel` hinzufügen:

```
VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }
```

## Konfigurieren Sie Ihre private VPC für SageMaker KI-Hosting
<a name="host-vpc-vpc"></a>

Beachten Sie bei der Konfiguration der privaten VPC für Ihre SageMaker KI-Modelle die folgenden Richtlinien. Informationen zur Einrichtung einer VPC finden Sie unter [Arbeiten mit VPCs und Subnetzen](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) im *Amazon VPC-Benutzerhandbuch*.

**Topics**
+ [Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben](#host-vpc-ip)
+ [Erstellen eines Amazon S3 VPC-Endpunkts](#host-vpc-s3)
+ [Verwenden Sie eine benutzerdefinierte Endpunktrichtlinie, um den Zugriff auf Amazon S3 einzuschränken](#host-vpc-policy)
+ [Hinzufügen von Berechtigungen für den Endpunktzugriff für Container, die in einer VPC ausgeführt werden, zu benutzerdefinierten IAM-Richtlinien](#host-vpc-endpoints)
+ [Konfigurieren der Routing-Tabellen](#host-vpc-route-table)
+ [Herstellen einer Verbindung mit Ressourcen außerhalb Ihrer VPC](#model-vpc-nat)

### Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben
<a name="host-vpc-ip"></a>

Trainings-Instances, die keinen Elastic Fabric Adapter (EFA) verwenden, sollten mindestens 2 private IP-Adressen haben. Trainings-Instances, die einen EFA verwenden, sollten mindestens 5 private IP-Adressen haben. Weitere Informationen finden Sie unter [Mehrere IP-Adressen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html) im Amazon EC2-Benutzerhandbuch.

### Erstellen eines Amazon S3 VPC-Endpunkts
<a name="host-vpc-s3"></a>

Wenn Sie Ihre VPC so konfigurieren, dass Modellcontainer keinen Zugang zum Internet haben, können sie sich nicht mit den Amazon-S3-Buckets verbinden, die Ihre Daten enthalten, es sei denn, Sie erstellen einen VPC-Endpunkt, der den Zugriff erlaubt. Durch das Erstellen eines VPC-Endpunkts, geben Sie den Modellcontainern Zugriff auf die Buckets, in denen Sie Ihre Daten und Modellartefakte speichern. Wir empfehlen, dass Sie auch eine benutzerdefinierte Richtlinie erstellen, die nur Anforderungen von Ihrer privaten VPC erlaubt, auf Ihre S3-Buckets zuzugreifen. Weitere Informationen finden Sie unter [Endpunkte für Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).

**So erstellen Sie einen Amazon S3 VPC-Endpunkt:**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Endpoints (Endpunkte)** und anschließend **Create Endpoint (Endpunkt erstellen)** aus.

1. **Wählen Sie für **Service Name com.amazonaws**. *region*.s3**, wo *region* ist der Name der AWS Region, in der sich Ihre VPC befindet.

1. Wählen Sie unter **VPC** die VPC aus, die Sie für diesen Endpunkt verwenden möchten.

1. Wählen Sie unter **Routing-Tabellen konfigurieren** die zu verwendenden Routing-Tabellen für den Endpunkt aus. Der VPC-Service fügt jeder von Ihnen gewählten Routentabelle automatisch eine Route hinzu, die den Amazon S3-Datenverkehr an den neuen Endpunkt weiterleitet.

1. Wählen Sie für **Richtlinie** **Voller Zugriff**, um jedem Benutzer oder Service innerhalb der VPC den vollen Zugriff auf den Amazon S3-Service zu ermöglichen. Wählen Sie **Custom (Benutzerdefiniert)** aus, um den Zugriff weiter einzuschränken. Weitere Informationen finden Sie unter [Verwenden Sie eine benutzerdefinierte Endpunktrichtlinie, um den Zugriff auf Amazon S3 einzuschränken](#host-vpc-policy).

### Verwenden Sie eine benutzerdefinierte Endpunktrichtlinie, um den Zugriff auf Amazon S3 einzuschränken
<a name="host-vpc-policy"></a>

Die Standard-Endpunktrichtlinie ermöglicht jedem Benutzer oder Service in Ihrer VPC den vollständigen Zugriff auf Amazon Simple Storage Service (Amazon S3). Um den Zugriff auf Amazon S3 weiter einzuschränken, erstellen Sie eine benutzerdefinierte Endpunktrichtlinie. Weitere Informationen finden Sie unter [Verwendung von Endpunktrichtlinien für Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). 

Sie können auch eine Bucket-Richtlinie verwenden, um den Zugriff auf Ihre S3-Buckets auf den Datenverkehr zu beschränken, der von Ihrer Amazon VPC kommt. Weitere Informationen finden Sie unter [Verwendung von Amazon S3 Bucket Richtlinien](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).

#### Einschränken der Paketinstallation im Modellcontainer mit einer benutzerdefinierten Endpunktrichtlinie
<a name="host-vpc-policy-repos"></a>

Mit der Standardrichtlinie für Endpunkte können Benutzer Pakete aus den Amazon Linux- und Amazon Linux-2-Repositorys auf dem Modellcontainer installieren. Wenn Sie nicht möchten, dass Benutzer Pakete von diesen Repositorys installieren, erstellen Sie eine benutzerdefinierte Endpunktrichtlinie, die ausdrücklich den Zugriff auf die Amazon Linux- und Amazon Linux-2-Repositorys verweigert. Nachfolgend finden Sie eine Beispielrichtlinie, die den Zugriff auf diese Repositorys verweigert:

```
{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}
```

### Hinzufügen von Berechtigungen für den Endpunktzugriff für Container, die in einer VPC ausgeführt werden, zu benutzerdefinierten IAM-Richtlinien
<a name="host-vpc-endpoints"></a>

Die `SageMakerFullAccess`-verwaltete Richtlinie enthält die Berechtigungen, die Sie für die Verwendung von Modellen benötigen, die für den Amazon VPC-Zugriff mit einem Endpunkt konfiguriert sind. Diese Berechtigungen ermöglichen es SageMaker KI, eine elastic network interface zu erstellen und sie an Modellcontainer anzuhängen, die in einer VPC ausgeführt werden. Wenn Sie Ihre eigene IAM-Richtlinie verwenden, müssen Sie die folgenden Berechtigungen zu dieser Richtlinie hinzufügen, um die für den VPC-Zugriff konfigurierten Modelle zu verwenden. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Weitere Informationen über die verwalteten `SageMakerFullAccess`-Richtlinie finden Sie unter [AWS verwaltete Richtlinie: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess). 

### Konfigurieren der Routing-Tabellen
<a name="host-vpc-route-table"></a>

Verwenden Sie die Standard-DNS-Einstellungen für Ihre Endpunkt-Routing-Tabelle, sodass die Standardlösung von Amazon S3 URLs (z. B.`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) funktioniert. Wenn Sie keine Standard-DNS-Einstellungen verwenden, stellen Sie sicher, URLs dass die, die Sie zur Angabe der Speicherorte der Daten in Ihren Modellen verwenden, aufgelöst werden, indem Sie die Endpunkt-Routing-Tabellen konfigurieren. Informationen über Routing-Tabellen für VPC-Endpunkte finden Sie unter [Routing für Gateway-Endpunkte](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) im *Amazon VPC Benutzerhandbuch*.

### Herstellen einer Verbindung mit Ressourcen außerhalb Ihrer VPC
<a name="model-vpc-nat"></a>

Wenn Sie Ihre VPC so konfigurieren, dass sie keinen Internetzugriff hat, haben Modelle, die diese VPC verwenden, keinen Zugriff auf Ressourcen außerhalb Ihrer VPC. Wenn Ihr Modell Zugriff auf Ressourcen außerhalb Ihrer VPC benötigt, stellen Sie mithilfe einer der folgenden Optionen den entsprechenden Zugriff her:
+ Wenn Ihr Modell Zugriff auf einen AWS Dienst benötigt, der VPC-Schnittstellen-Endpunkte unterstützt, erstellen Sie einen Endpunkt, um eine Verbindung zu diesem Dienst herzustellen. Eine Liste der Services, die Schnittstellenendpunkte unterstützen, finden Sie unter [VPC-Endpunkte](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) im *Amazon VPC Benutzerhandbuch*. Informationen zum Erstellen eines Schnittstellen-VPC-Endpunkts finden Sie unter [Interface VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) im *Amazon VPC-Benutzerhandbuch*.
+ Wenn Ihr Modell Zugriff auf einen AWS Dienst benötigt, der keine VPC-Schnittstellen-Endpunkte unterstützt, oder auf eine Ressource außerhalb von AWS, erstellen Sie ein NAT-Gateway und konfigurieren Sie Ihre Sicherheitsgruppen so, dass ausgehende Verbindungen zugelassen werden. Weitere Informationen zum Einrichten eines NAT-Gateway für Ihre VPC finden Sie unter [Szenario 2: VPC mit öffentlichen und privaten Subnetzen (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) im *Amazon Virtual Private Cloud-Benutzerhandbuch*.