Ausführen von Trainings- und Inferenzcontainern in Internet-freier Modus - Amazon SageMaker KI
Netzwerkisolierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ausführen von Trainings- und Inferenzcontainern in Internet-freier Modus

SageMaker KI-Training und bereitgestellte Inferenzcontainer sind standardmäßig internetfähig. Auf diese Weise können Container im Rahmen Ihrer Trainings- und Inferenz-Workloads auf externe Services und Ressourcen im öffentlichen Internet zugreifen. Dies könnte jedoch eine Möglichkeit für den unbefugten Zugriff auf Ihre Daten bieten. So kann beispielsweise ein böswilliger Benutzer oder ein Schad-Code, den Sie versehentlich auf dem Container installiert haben (in Form einer öffentlich verfügbaren Quellcode-Bibliothek), auf Ihre Daten zugreifen und sie auf einen Remote-Host übertragen.

Wenn Sie eine Amazon VPC verwenden, indem Sie beim Aufruf von CreateTrainingJob, CreateHyperParameterTuningJob, oder CreateModel, einen Wert für den VpcConfig Parameter angeben, können Sie Ihre Daten und Ressourcen schützen, indem Sie Sicherheitsgruppen verwalten und den Internetzugriff von Ihrer VPC aus beschränken. Dies erfordert jedoch zusätzlichen Netzwerkkonfigurationen und birgt das Risiko, dass Sie Ihr Netzwerk nicht korrekt konfigurieren. Wenn Sie nicht möchten, dass SageMaker KI externen Netzwerkzugriff auf Ihre Trainings- oder Inferenzcontainer bereitstellt, können Sie die Netzwerkisolierung aktivieren.

Netzwerkisolierung

Sie können die Netzwerkisolierung aktivieren, wenn Sie Ihren Trainingsjob oder Ihr Modell erstellen, indem Sie den Wert des EnableNetworkIsolation-Parameters auf True setzen, wenn Sie CreateTrainingJob, CreateHyperParameterTuningJob, oder CreateModel. aufrufen.

Anmerkung

Die Isolierung des Netzwerks ist erforderlich, um Trainingsaufträge und Modelle mit Ressourcen von AWS Marketplace auszuführen. Für zusätzliche Sicherheit werden AWS Marketplace Images in einer Amazon VPC ausgeführt. Sie haben nur Zugriff auf Daten in ihren lokalen Dateisystemen.

Wenn Sie die Netzwerkisolierung aktivieren, können Ihre Trainings- und Inferenzcontainer keine ausgehenden Netzwerkaufrufe an Dienste, einschließlich Amazon S3, tätigen. Der Container-Laufzeitumgebung werden keine AWS Anmeldeinformationen zur Verfügung gestellt. Bei Trainingsjobs mit mehreren Instanzen ist der eingehende und ausgehende Netzwerkverkehr auf die Kommunikation zwischen Trainingscontainer-Peers beschränkt.

SageMaker KI wickelt weiterhin alle erforderlichen Download- und Upload-Vorgänge für Amazon S3 mithilfe Ihrer SageMaker AI-Ausführungsrolle ab. Dies geschieht unabhängig von Ihren Trainings- und Inferenzcontainern, wodurch sichergestellt wird, dass Ihre Trainingsdaten und Modellartefakte weiterhin zugänglich sind, während die Container-Isolierung beibehalten wird.

Die folgenden verwalteten SageMaker KI-Container unterstützen keine Netzwerkisolierung, da sie Zugriff auf Amazon S3 benötigen:

  • Chainer

  • SageMaker Verstärktes Lernen mit KI

Netzwerkisolierung mit einer VPC

Netzwerkisolierung kann in Verbindung mit einer VPC verwendet werden. In diesem Szenario wird der Download und Upload von Kundendaten und Modellartefakten über Ihr VPC-Subnetz geleitet. Beachten Sie jedoch, dass das Trainings- und Inferenzcontainer selbst weiterhin vom Netzwerk isoliert sind und keinen Zugriff auf Ressourcen innerhalb Ihrer VPC oder im Internet haben.