Geben Sie Inference Empfehlungsaufträgen Zugriff auf Ressourcen in Ihrer Amazon VPC - Amazon SageMaker AI
Stellen Sie sicher, dass die Subnetze genügend IP-Adressen habenErstellen eines Amazon S3 VPC-EndpunktsHinzufügen von Berechtigungen für Inferenz-Empfehlungsaufträge, die in einer Amazon VPC ausgeführt werden, zu benutzerdefinierten IAM-RichtlinienKonfigurieren von Routing-TabellenKonfigurieren der VPC-Sicherheitsgruppe

Geben Sie Inference Empfehlungsaufträgen Zugriff auf Ressourcen in Ihrer Amazon VPC

Anmerkung

Bei Inference Recommender müssen Sie Ihr Modell bei Model Registry registrieren. Beachten Sie, dass Model Registry nicht zulässt, dass Ihre Modellartefakte oder Ihr Amazon-ECR-Image VPC-beschränkt werden.

Inference Recommender setzt außerdem voraus, dass Ihr Amazon S3-Beispielnutzdatenobjekt nicht VPC-beschränkt ist. Für Ableitungsempfehlungsaufträge können Sie keine benutzerdefinierte Richtlinie erstellen, die nur Anfragen aus Ihrer privaten VPC den Zugriff auf Ihre Amazon-S3-Buckets erlaubt.

Um Subnetze und Sicherheitsgruppen in Ihrer privaten VPC anzugeben, verwenden Sie den RecommendationJobVpcConfig-Anforderungsparameter der CreateInferenceRecommendationsJob-API oder geben Sie Ihre Subnetze und Sicherheitsgruppen an, wenn Sie einen Empfehlungsauftrag in der SageMaker-AI-Konsole erstellen.

Inference Recommender verwendet diese Informationen, um Endpunkte zu erstellen. Bei der Bereitstellung von Endpunkten erstellt SageMaker AI Netzwerkschnittstellen und fügt sie an Ihre Endpunkte an. Die Netzwerkschnittstellen bieten Ihren Endpunkten eine Netzwerkverbindung zu Ihrer VPC. Es folgt ein Beispiel für den Parameter VpcConfig, den Sie in einen Aufruf von CreateInferenceRecommendationsJob aufnehmen:

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }

Weitere Informationen zur Konfiguration Ihrer Amazon VPC für die Verwendung mit Inferenz-Empfehlungsaufträgen finden Sie in den folgenden Themen.

Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben

Ihre VPC-Subnetze sollten mindestens zwei private IP-Adressen für jede Instance in einem Ableitungsempfehlungsauftrag haben. Weitere Informationen zu Subnetzen und privaten IP-Adressen finden Sie unter So funktioniert Amazon VPC im Amazon VPC-Benutzerhandbuch.

Erstellen eines Amazon S3 VPC-Endpunkts

Wenn Sie Ihre VPC so konfigurieren, dass der Zugriff auf das Internet blockiert ist, kann Inference Recommender keine Verbindung zu den Amazon-S3-Buckets herstellen, die Ihre Modelle enthalten, es sei denn, Sie erstellen einen VPC-Endpunkt, der den Zugriff erlaubt. Indem Sie einen VPC-Endpunkt erstellen, ermöglichen Sie Ihren SageMaker-AI-Inferenzempfehlungsaufträgen den Zugriff auf die Buckets, in denen Sie Ihre Daten und Modellartefakte speichern.

Erstellen eines Amazon-S3-VPC-Endpunkts wie folgt:

  1. Öffnen Sie die Amazon VPC-Konsole.

  2. Wählen Sie im Navigationsbereich Endpoints (Endpunkte) und anschließend Create Endpoint (Endpunkt erstellen) aus.

  3. Suchen Sie unter Servicename nachcom.amazonaws.region.s3, wo region der Name der Region ist, in der sich Ihre VPC befindet.

  4. Wählen Sie den Gateway-Typ.

  5. Wählen Sie unter VPC die VPC aus, die Sie für diesen Endpunkt verwenden möchten.

  6. Für Configure route tables wählen Sie die Routing-Tabellen, die von dem Endpunkt verwendet werden sollen. Der VPC-Service fügt jeder von Ihnen ausgewählten Routentabelle automatisch eine Route hinzu, die jeglichen Amazon S3-Datenverkehr an den neuen Endpunkt weiterleitet.

  7. Wählen Sie für Richtlinie Voller Zugriff, um jedem Benutzer oder Service innerhalb der VPC den vollen Zugriff auf den Amazon S3-Service zu ermöglichen.

Hinzufügen von Berechtigungen für Inferenz-Empfehlungsaufträge, die in einer Amazon VPC ausgeführt werden, zu benutzerdefinierten IAM-Richtlinien

Die AmazonSageMakerFullAccess-verwaltete Richtlinie enthält die Berechtigungen, die Sie für die Verwendung von Modellen benötigen, die für den Amazon VPC-Zugriff mit einem Endpunkt konfiguriert sind. Diese Berechtigungen ermöglichen es Inference Recommender, eine Elastic-Network-Schnittstelle zu erstellen und sie an den Inferenz-Empfehlungsauftrag anzuhängen, der in einer Amazon VPC ausgeführt wird. Wenn Sie Ihre eigene IAM-Richtlinie verwenden, müssen Sie die folgenden Berechtigungen zu dieser Richtlinie hinzufügen, um für den Amazon VPC-Zugriff konfigurierte Modelle zu verwenden.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}

Konfigurieren von Routing-Tabellen

Verwenden Sie die Standard-DNS-Einstellungen für Ihre Endpunkt-Routentabelle, damit Standard-URLs von Amazon S3 (z. B.: http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) aufgelöst werden. Wenn Sie nicht die Standard-DNS-Einstellungen verwenden, stellen Sie sicher, dass die URLs, die Sie zur Angabe der Speicherorte der Daten in Ihren Inferenzempfehlungsaufträgen verwenden, aufgelöst werden, indem Sie die Endpunkt-Routentabellen konfigurieren. Informationen über Routing-Tabellen für VPC-Endpunkte finden Sie unter Routing-Gateway-Endpunkte im Amazon VPC Benutzerhandbuch.

Konfigurieren der VPC-Sicherheitsgruppe

In Ihrer Sicherheitsgruppe für den Inferenzempfehlungsauftrag müssen Sie ausgehende Kommunikation zu Ihren Amazon S3-VPC-Endpunkten und den für den Inferenzempfehlungsauftrag verwendeten Subnetz-CIDR-Bereichen zulassen. For information, see Security Group Rules and Control access to services with Amazon VPC endpoints in the Amazon VPC User Guide.