Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Geben Sie Inference Empfehlungsaufträgen Zugriff auf Ressourcen in Ihrer Amazon VPC
<a name="inference-recommender-vpc-access"></a>

**Anmerkung**  
Bei Inference Recommender müssen Sie Ihr Modell bei Model Registry registrieren. Beachten Sie, dass Model Registry nicht zulässt, dass Ihre Modellartefakte oder Ihr Amazon-ECR-Image VPC-beschränkt werden.  
Inference Recommender setzt außerdem voraus, dass Ihr Amazon S3-Beispielnutzdatenobjekt nicht VPC-beschränkt ist. Für Ableitungsempfehlungsaufträge können Sie keine benutzerdefinierte Richtlinie erstellen, die nur Anfragen aus Ihrer privaten VPC den Zugriff auf Ihre Amazon-S3-Buckets erlaubt.

Um Subnetze und Sicherheitsgruppen in Ihrer privaten VPC anzugeben, verwenden Sie den `RecommendationJobVpcConfig` Anforderungsparameter der [CreateInferenceRecommendationsJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html)API oder geben Sie Ihre Subnetze und Sicherheitsgruppen an, wenn Sie einen Empfehlungsjob in der SageMaker AI-Konsole erstellen.

Inference Recommender verwendet diese Informationen, um Endpunkte zu erstellen. Bei der Bereitstellung von Endpunkten erstellt SageMaker KI Netzwerkschnittstellen und fügt sie Ihren Endpunkten hinzu. Die Netzwerkschnittstellen bieten Ihren Endpunkten eine Netzwerkverbindung zu Ihrer VPC. Es folgt ein Beispiel für den Parameter `VpcConfig`, den Sie in einen Aufruf von `CreateInferenceRecommendationsJob` aufnehmen:

```
VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }
```

Weitere Informationen zur Konfiguration Ihrer Amazon VPC für die Verwendung mit Inferenz-Empfehlungsaufträgen finden Sie in den folgenden Themen.

**Topics**
+ [Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben](#inference-recommender-vpc-access-subnets)
+ [Erstellen eines Amazon S3 VPC-Endpunkts](#inference-recommender-vpc-access-endpoint)
+ [Hinzufügen von Berechtigungen für Inferenz-Empfehlungsaufträge, die in einer Amazon VPC ausgeführt werden, zu benutzerdefinierten IAM-Richtlinien](#inference-recommender-vpc-access-permissions)
+ [Konfigurieren von Routing-Tabellen](#inference-recommender-vpc-access-route-tables)
+ [Konfigurieren der VPC-Sicherheitsgruppe](#inference-recommender-vpc-access-security-group)

## Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben
<a name="inference-recommender-vpc-access-subnets"></a>

Ihre VPC-Subnetze sollten mindestens zwei private IP-Adressen für jede Instance in einem Ableitungsempfehlungsauftrag haben. Weitere Informationen zu Subnetzen und privaten IP-Adressen finden Sie unter [So funktioniert Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) im *Amazon VPC-Benutzerhandbuch*.

## Erstellen eines Amazon S3 VPC-Endpunkts
<a name="inference-recommender-vpc-access-endpoint"></a>

Wenn Sie Ihre VPC so konfigurieren, dass der Zugriff auf das Internet blockiert ist, kann Inference Recommender keine Verbindung zu den Amazon-S3-Buckets herstellen, die Ihre Modelle enthalten, es sei denn, Sie erstellen einen VPC-Endpunkt, der den Zugriff erlaubt. Durch die Erstellung eines VPC-Endpunkts ermöglichen Sie Ihren SageMaker KI-Inferenzempfehlungsjobs den Zugriff auf die Buckets, in denen Sie Ihre Daten und Modellartefakte speichern.

Erstellen eines Amazon-S3-VPC-Endpunkts wie folgt:

1. Öffnen Sie die [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Endpoints (Endpunkte)** und anschließend **Create Endpoint (Endpunkt erstellen)** aus.

1. Suchen Sie unter **Servicename** nach`com.amazonaws.region.s3`, wo `region` der Name der Region ist, in der sich Ihre VPC befindet.

1. Wählen Sie den **Gateway-Typ**.

1. Wählen Sie unter **VPC** die VPC aus, die Sie für diesen Endpunkt verwenden möchten.

1. Für **Configure route tables** wählen Sie die Routing-Tabellen, die von dem Endpunkt verwendet werden sollen. Der VPC-Service fügt jeder von Ihnen ausgewählten Routentabelle automatisch eine Route hinzu, die jeglichen Amazon S3-Datenverkehr an den neuen Endpunkt weiterleitet.

1. Wählen Sie für **Richtlinie** die Option **Voller Zugriff**, um jedem Benutzer oder Service innerhalb der VPC den vollen Zugriff auf den Amazon S3-Service zu ermöglichen.

## Hinzufügen von Berechtigungen für Inferenz-Empfehlungsaufträge, die in einer Amazon VPC ausgeführt werden, zu benutzerdefinierten IAM-Richtlinien
<a name="inference-recommender-vpc-access-permissions"></a>

Die verwaltete Richtlinie von `[ AmazonSageMakerFullAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSageMakerFullAccess)` enthält die Berechtigungen, die Sie für die Verwendung von Modellen benötigen, die für den Amazon VPC-Zugriff mit einem Endpunkt konfiguriert sind. Diese Berechtigungen ermöglichen es Inference Recommender, eine Elastic-Network-Schnittstelle zu erstellen und sie an den Inferenz-Empfehlungsauftrag anzuhängen, der in einer Amazon VPC ausgeführt wird. Wenn Sie Ihre eigene IAM-Richtlinie verwenden, müssen Sie die folgenden Berechtigungen zu dieser Richtlinie hinzufügen, um für den Amazon VPC-Zugriff konfigurierte Modelle zu verwenden.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}
```

------



## Konfigurieren von Routing-Tabellen
<a name="inference-recommender-vpc-access-route-tables"></a>

Verwenden Sie die Standard-DNS-Einstellungen für Ihre Endpunkt-Routing-Tabelle, sodass die standardmäßigen Amazon S3 S3-Einstellungen URLs (z. B.:`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) aufgelöst werden. Wenn Sie nicht die Standard-DNS-Einstellungen verwenden, stellen Sie sicher, URLs dass die Aufgaben, die Sie zur Angabe der Speicherorte der Daten in Ihrer Inferenzempfehlung verwenden, durch Konfiguration der Endpunkt-Routing-Tabellen aufgelöst werden. Informationen über Routing-Tabellen für VPC-Endpunkte finden Sie unter [Routing-Gateway-Endpunkte](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) im *Amazon VPC Benutzerhandbuch*.

## Konfigurieren der VPC-Sicherheitsgruppe
<a name="inference-recommender-vpc-access-security-group"></a>

In Ihrer Sicherheitsgruppe für den Inferenzempfehlungsauftrag müssen Sie ausgehende Kommunikation zu Ihren Amazon S3-VPC-Endpunkten und den für den Inferenzempfehlungsauftrag verwendeten Subnetz-CIDR-Bereichen zulassen. For information, see [Security Group Rules](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) and [Control access to services with Amazon VPC endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html) in the *Amazon VPC User Guide*.