Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Donnez à l' SageMaker IA un accès aux ressources de votre Amazon VPC
<a name="infrastructure-give-access"></a>

SageMaker L'IA exécute les types de tâches suivants dans un Amazon Virtual Private Cloud par défaut. 
+ Traitement
+ Entraînement
+ Hébergement de modèle
+ Transformation par lots
+ Amazon SageMaker Clarifier
+ SageMaker Compilation d'IA

Toutefois, les conteneurs destinés à ces tâches accèdent à des AWS ressources, telles que les compartiments Amazon Simple Storage Service (Amazon S3) dans lesquels vous stockez les données de formation et les artefacts de modèles, via Internet.

Pour contrôler l'accès à vos données et à vos conteneurs de tâches, nous vous recommandons de créer un VPC privé et de le configurer afin qu'ils ne soient pas accessibles via Internet. Pour obtenir des informations sur la création et la configuration d’un VPC, consultez [Démarrer avec Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/getting-started-ipv4.html) dans le *Guide de l’utilisateur Amazon VPC*. L'utilisation d'un VPC vous permet de protéger vos conteneurs de tâches et vos données, car vous pouvez configurer le VPC afin qu'il ne soit pas connecté à Internet. L'utilisation d'un VPC vous permet également de contrôler tout le trafic réseau entrant et sortant de vos conteneurs de tâches à l'aide des journaux de flux de VPC. Pour plus d’informations, consultez [Journaux de flux VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html) dans le *Guide de l’utilisateur Amazon VPC*.

Vous spécifiez votre configuration de VPC privé lors de la création de tâchesen spécifiant les sous-réseaux et les groupes de sécurité. Lorsque vous spécifiez les sous-réseaux et les groupes de sécurité, l' SageMaker IA crée des *interfaces réseau élastiques* associées à vos groupes de sécurité dans l'un des sous-réseaux. Les interfaces réseau permettent à vos conteneurs de tâches de se connecter aux ressources de votre VPC. Pour obtenir des informations sur les interfaces réseau, consultez [Interfaces réseau Elastic](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ElasticNetworkInterfaces.html) dans le *Guide de l’utilisateur Amazon VPC*.

Vous spécifiez une configuration VPC dans l'`VpcConfig`objet de l'[CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html)opération ou [CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)de l'opération. La spécification d’une configuration de VPC lorsque vous créez une tâche d’entraînement permet à votre modèle d’accéder aux ressources figurant au sein de votre VPC.

La spécification d’une configuration de VPC à elle seule ne modifie pas le chemin d’invocation. Pour vous connecter à Amazon SageMaker AI au sein d'un VPC, créez un point de terminaison VPC et invoquez-le. Pour de plus amples informations, veuillez consulter [Connectez-vous à l' SageMaker IA au sein de votre VPC](interface-vpc-endpoint.md).

**Topics**
+ [

# Donnez aux tâches de traitement par SageMaker IA un accès aux ressources de votre Amazon VPC
](process-vpc.md)
+ [

# Donnez aux SageMaker professionnels de formation en IA l'accès aux ressources de votre Amazon VPC
](train-vpc.md)
+ [

# Donnez aux points de terminaison hébergés par SageMaker IA un accès aux ressources de votre Amazon VPC
](host-vpc.md)
+ [

# Donner aux tâches de transformation des lots l’accès aux ressources de votre Amazon VPC
](batch-vpc.md)
+ [

# Donnez à Amazon SageMaker Clarify Jobs l'accès aux ressources de votre Amazon VPC
](clarify-vpc.md)
+ [

# Donnez aux tâches de compilation SageMaker AI un accès aux ressources de votre Amazon VPC
](neo-vpc.md)
+ [

# Donner aux tâches Inference Recommender l'accès aux ressources de votre VPC Amazon
](inference-recommender-vpc-access.md)

# Donnez aux tâches de traitement par SageMaker IA un accès aux ressources de votre Amazon VPC
<a name="process-vpc"></a>

Pour contrôler l’accès à vos données et aux tâches de traitement, créez un réseau Amazon VPC avec des sous-réseaux privés. Pour en savoir plus sur la création et la configuration d’un VPC, consultez [Démarrer avec Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-getting-started.html) dans le *Guide de l’utilisateur Amazon VPC*.

Vous pouvez surveiller tout le trafic réseau entrant et sortant de vos conteneurs de traitement à l’aide des journaux de flux de VPC. Pour plus d’informations, consultez [Journaux de flux VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html) dans le *Guide de l’utilisateur Amazon VPC*.

Ce document explique comment ajouter des configurations Amazon VPC pour les tâches de traitement.

## Configurer une tâche de traitement pour un accès Amazon VPC
<a name="process-vpc-configure"></a>

Vous configurez la tâche de traitement en spécifiant les sous-réseaux et le groupe de sécurité IDs au sein du VPC. Vous n’avez pas besoin de spécifier le sous-réseau pour le conteneur de traitement. Amazon SageMaker AI extrait automatiquement le conteneur de traitement d'Amazon ECR. Pour plus d’informations sur les conteneurs de traitement, consultez [Charges de travail de transformation des données avec Processing SageMaker](processing-job.md).

Lorsque vous créez une tâche de traitement, vous pouvez spécifier des sous-réseaux et des groupes de sécurité dans votre VPC à l'aide de la console AI ou de SageMaker l'API.

Pour utiliser l'API, vous devez spécifier les sous-réseaux et le groupe de sécurité IDs dans le `NetworkConfig.VpcConfig` paramètre de l'[ CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html)opération. SageMaker L'IA utilise les détails du sous-réseau et du groupe de sécurité pour créer les interfaces réseau et les associer aux conteneurs de traitement. Les interfaces réseau fournissent aux conteneurs de traitement une connexion réseau au sein de votre VPC. La tâche de traitement peut ainsi se connecter aux ressources qui existent dans votre VPC.

Voici un exemple du paramètre `VpcConfig` que vous incluez dans votre appel à l’opération `CreateProcessingJob` :

```
VpcConfig: {
    "Subnets": [
        "subnet-0123456789abcdef0",
        "subnet-0123456789abcdef1",
        "subnet-0123456789abcdef2"
    ],    
    "SecurityGroupIds": [
        "sg-0123456789abcdef0"
    ]
}
```

## Configurez votre VPC privé pour SageMaker le traitement de l'IA
<a name="process-vpc-vpc"></a>

Lorsque vous configurez le VPC privé pour vos tâches de traitement SageMaker AI, suivez les instructions suivantes. Pour plus d'informations sur la configuration d'un VPC, consultez la section [Utilisation des sous-réseaux VPCs et des sous-réseaux](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) dans le guide de l'utilisateur Amazon *VPC*.

**Topics**
+ [

### S’assurer que les sous-réseaux ont suffisamment d’adresses IP
](#process-vpc-ip)
+ [

### Création d'un point de terminaison d'un VPC Amazon S3
](#process-vpc-s3)
+ [

### Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3
](#process-vpc-policy)
+ [

### Configuration des tables de routage
](#process-vpc-route-table)
+ [

### Configurer le groupe de sécurité VPC
](#process-vpc-groups)
+ [

### Connexion à des ressources en dehors de votre VPC
](#process-vpc-nat)
+ [

### Surveillez les tâches SageMaker de traitement Amazon à l'aide de CloudWatch journaux et de statistiques
](#process-vpc-cloudwatch)

### S’assurer que les sous-réseaux ont suffisamment d’adresses IP
<a name="process-vpc-ip"></a>

Vos sous-réseaux VPC doivent avoir au moins deux adresses IP privées pour chaque instance dans une tâche de traitement. Pour plus d'informations, consultez la section relative au [dimensionnement des VPC et des sous-réseaux dans le guide de l' IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4)utilisateur Amazon *VPC*.

### Création d'un point de terminaison d'un VPC Amazon S3
<a name="process-vpc-s3"></a>

Si vous configurez votre VPC afin que les conteneurs de traitement n'aient pas accès à Internet, ces derniers ne peuvent pas se connecter aux compartiments Amazon S3 qui contiennent vos données, à moins de créer un point de terminaison d'un VPC autorisant l'accès. En créant un point de terminaison de VPC, vous permettez à vos conteneurs de traitement d’accéder aux compartiments où vous stockez vos données. Nous vous recommandons de créer également une politique personnalisée autorisant uniquement les demandes d'accès à vos compartiments S3 provenant de votre VPC privé. Pour plus d’informations, consultez [Points de terminaison pour Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).

**Pour créer un point de terminaison de VPC S3 :**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Endpoints (Points de terminaison)**, puis **Create Endpoint (Créer un point de terminaison)**.

1. Pour **Nom du service**, choisissez **com.amazonaws. *region*.s3**, où *region* est le nom de la région où réside votre VPC.

1. Pour **VPC**, choisissez le VPC que vous voulez utiliser pour ce point de terminaison.

1. Pour **Configure route tables (Configurer les tables de routage)**, sélectionnez les tables de routage à utiliser par le point de terminaison. Le service de VPC ajoute automatiquement un routage à chaque table de routage que vous sélectionnez et qui dirige le trafic S3 vers le nouveau point de terminaison.

1. Pour **Policy** (Politique), choisissez **Full Access (Accès total)** pour autoriser un accès total au service S3 par n'importe quel utilisateur ou service au sein du VPC. Choisissez **Personnalisé** pour restreindre l’accès davantage. Pour plus d'informations, consultez [Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3](#process-vpc-policy).

### Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3
<a name="process-vpc-policy"></a>

Par défaut, la politique de point de terminaison autorise un accès total à S3 pour n'importe quel utilisateur ou service au sein de votre VPC. Pour limiter l'accès à S3, créez une politique de point de terminaison personnalisé. Pour plus d’informations, consultez [Utilisation des politiques de point de terminaison pour Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Vous pouvez également utiliser une politique de compartiment pour restreindre l'accès à vos compartiments S3 uniquement au trafic issu de votre Amazon VPC. Pour obtenir des informations, consultez [Utilisation de politiques de compartiment Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).

#### Restreindre l’installation de packages sur le conteneur de traitement
<a name="process-vpc-policy-repos"></a>

La politique de point de terminaison par défaut permet aux utilisateurs d'installer des packages à partir des référentiels Amazon Linux et Amazon Linux 2 sur le conteneur de traitement. Si vous ne voulez pas que les utilisateurs installent des packages à partir de ce référentiel, créez une politique de point de terminaison personnalisée qui refuse explicitement l'accès aux référentiels Amazon Linux et Amazon Linux 2. Voici un exemple de politique qui refuse l'accès à ces référentiels :

```
{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}
```

### Configuration des tables de routage
<a name="process-vpc-route-table"></a>

Utilisez les paramètres DNS par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemple`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) soit résolu. Si vous n'utilisez pas les paramètres DNS par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos tâches de traitement sont résolus en configurant les tables de routage des points de terminaison. Pour obtenir des informations sur les tables de routage de point de terminaison d’un VPC, consultez [Routage des points de terminaison de passerelle](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) dans le *Guide de l’utilisateur Amazon VPC*.

### Configurer le groupe de sécurité VPC
<a name="process-vpc-groups"></a>

Dans un traitement distribué, vous devez autoriser la communication entre les différents conteneurs d’une même tâche de traitement. Pour ce faire, configurez une règle pour votre groupe de sécurité qui autorise les connexions entrantes entre les membres du même groupe de sécurité. Pour plus d’informations, consultez [Règles des groupes de sécurité](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).

### Connexion à des ressources en dehors de votre VPC
<a name="process-vpc-nat"></a>

Si vous connectez vos modèles à des ressources extérieures au VPC dans lequel ils s'exécutent, effectuez l'une des opérations suivantes :
+ **Connexion à d'autres AWS services** : si votre modèle a besoin d'accéder à un AWS service prenant en charge les points de terminaison Amazon VPC d'interface, créez un point de terminaison pour vous connecter à ce service. Pour obtenir la liste des services qui prennent en charge les points de terminaison d'interface, consultez la section [AWS Services intégrés AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html) dans le Guide de l' AWS PrivateLink utilisateur. Pour plus d'informations sur la création d'un point de terminaison VPC d'interface, consultez la section [Accès à un AWS service à l'aide d'un point de terminaison VPC d'](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)interface dans le guide de l'utilisateur. AWS PrivateLink 
+ **Connectez-vous aux ressources via Internet** : si vos modèles s'exécutent sur des instances figurant dans un réseau Amazon VPC qui ne possède pas de sous-réseau avec accès à Internet, les modèles n'auront pas accès aux ressources sur Internet. Si votre modèle a besoin d'accéder à un AWS service qui ne prend pas en charge les points de terminaison VPC d'interface, ou à une ressource extérieure AWS, assurez-vous d'exécuter vos modèles dans un sous-réseau privé ayant accès à Internet via une passerelle NAT publique dans un sous-réseau public. Une fois vos modèles exécutés dans le sous-réseau privé, configurez vos groupes de sécurité et vos listes de contrôle d'accès réseau (NACLs) pour autoriser les connexions sortantes du sous-réseau privé vers la passerelle NAT publique du sous-réseau public. Pour en savoir plus, consultez [Passerelles NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html ) dans le Guide de l’utilisateur Amazon VPC.

### Surveillez les tâches SageMaker de traitement Amazon à l'aide de CloudWatch journaux et de statistiques
<a name="process-vpc-cloudwatch"></a>

Amazon SageMaker AI fournit des CloudWatch journaux et des statistiques Amazon pour surveiller les tâches de formation. CloudWatch fournit des mesures relatives au processeur, au processeur graphique, à la mémoire, à la mémoire graphique et au disque, ainsi qu'à la journalisation des événements. Pour plus d'informations sur la surveillance SageMaker des tâches de traitement Amazon, consultez [Métriques Amazon SageMaker AI sur Amazon CloudWatch](monitoring-cloudwatch.md) et[SageMaker Indicateurs de l'emploi liés à](monitoring-cloudwatch.md#cloudwatch-metrics-jobs).

# Donnez aux SageMaker professionnels de formation en IA l'accès aux ressources de votre Amazon VPC
<a name="train-vpc"></a>

**Note**  
Pour les tâches d’entraînement, vous pouvez uniquement configurer des sous-réseaux avec un VPC de location par défaut dans lequel votre instance s’exécute sur un matériel partagé. Pour plus d'informations sur l'attribut de location pour VPCs, consultez [Instances dédiées](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).

## Configuration d’une tâche d’entraînement pour l’accès à Amazon VPC
<a name="train-vpc-configure"></a>

Pour contrôler l’accès à vos tâches d’entraînement, exécutez-les dans un réseau Amazon VPC doté de sous-réseaux privés sans accès à Internet.

Vous configurez le travail de formation pour qu'il s'exécute dans le VPC en spécifiant ses sous-réseaux et son groupe de sécurité. IDs Vous n’avez pas besoin de spécifier le sous-réseau pour le conteneur de la tâche d’entraînement. Amazon SageMaker AI extrait automatiquement l'image du conteneur de formation depuis Amazon ECR.

Lorsque vous créez une tâche de formation, vous pouvez spécifier les sous-réseaux et les groupes de sécurité de votre VPC à l'aide de la console SageMaker Amazon AI ou de l'API.

Pour utiliser l'API, vous devez spécifier les sous-réseaux et le groupe de sécurité IDs dans le `VpcConfig` paramètre de l'[ CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)opération. SageMaker L'IA utilise les détails du sous-réseau et du groupe de sécurité pour créer les interfaces réseau et les attache aux conteneurs de formation. Les interfaces réseau fournissent aux conteneurs d’entraînement une connexion réseau au sein de votre VPC. La tâche d’entraînement peut ainsi se connecter aux ressources qui existent dans votre VPC.

Voici un exemple du paramètre `VpcConfig` que vous incluez dans votre appel à l’opération `CreateTrainingJob` :

```
VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }
```

## Configurez votre VPC privé pour SageMaker la formation à l'IA
<a name="train-vpc-vpc"></a>

Lorsque vous configurez le VPC privé pour vos tâches de formation à l' SageMaker IA, suivez les instructions suivantes. Pour plus d'informations sur la configuration d'un VPC, consultez la section [Utilisation des sous-réseaux VPCs et des sous-réseaux](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) dans le guide de l'utilisateur Amazon *VPC*.

**Topics**
+ [

### S’assurer que les sous-réseaux ont suffisamment d’adresses IP
](#train-vpc-ip)
+ [

### Création d’un point de terminaison d’un VPC Amazon S3
](#train-vpc-s3)
+ [

### Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3
](#train-vpc-policy)
+ [

### Configuration des tables de routage
](#train-vpc-route-table)
+ [

### Configurer le groupe de sécurité VPC
](#train-vpc-groups)
+ [

### Connexion à des ressources en dehors de votre VPC
](#train-vpc-nat)
+ [

### Surveillez les offres SageMaker de formation Amazon à l'aide de CloudWatch journaux et de statistiques
](#train-vpc-cloudwatch)

### S’assurer que les sous-réseaux ont suffisamment d’adresses IP
<a name="train-vpc-ip"></a>

Les instances d'entraînement qui *n'utilisent pas* de périphérique Elastic Fabric Adapter (EFA) doivent disposer d'au moins 2 adresses IP privées. Les instances d'entraînement qui utilisent un périphérique EFA doivent disposer d'au moins 5 adresses IP privées. Pour plus d'informations, consultez [Plusieurs adresses IP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html) dans le Guide de l'utilisateur Amazon EC2.

Vos sous-réseaux VPC doivent avoir au moins deux adresses IP privées pour chaque instance dans une tâche d’entraînement. Pour plus d'informations, consultez la section relative au [dimensionnement des VPC et des sous-réseaux dans le guide de l' IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4)utilisateur Amazon *VPC*.

### Création d’un point de terminaison d’un VPC Amazon S3
<a name="train-vpc-s3"></a>

Si vous configurez votre VPC afin que les conteneurs d'entraînement n'aient pas accès à Internet, ils ne peuvent pas se connecter aux compartiments Amazon S3 qui contiennent vos données d'entraînement, sauf si vous créez un point de terminaison d'un VPC autorisant l'accès. En créant un point de terminaison de VPC, vous permettez à vos conteneurs d’entraînement d’accéder aux compartiments où vous stockez vos données et les artefacts de modèle. Nous vous recommandons de créer également une politique personnalisée autorisant uniquement les demandes d'accès à vos compartiments S3 provenant de votre VPC privé. Pour plus d’informations, consultez [Points de terminaison pour Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).

**Pour créer un point de terminaison de VPC S3 :**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Endpoints (Points de terminaison)**, puis **Create Endpoint (Créer un point de terminaison)**.

1. Pour le **nom du service**, recherchez **com.amazonaws. *region*.s3**, où *region* est le nom de la région où réside votre VPC.

1. Choisissez le type **Passerelle**.

1. Pour **VPC**, choisissez le VPC que vous voulez utiliser pour ce point de terminaison.

1. Pour **Configure route tables (Configurer les tables de routage)**, sélectionnez les tables de routage à utiliser par le point de terminaison. Le service de VPC ajoute automatiquement un routage à chaque table de routage que vous sélectionnez et qui dirige le trafic S3 vers le nouveau point de terminaison.

1. Pour **Policy** (Politique), choisissez **Full Access (Accès total)** pour autoriser un accès total au service S3 par n'importe quel utilisateur ou service au sein du VPC. Choisissez **Personnalisé** pour restreindre l’accès davantage. Pour plus d'informations, consultez [Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3](#train-vpc-policy).

### Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3
<a name="train-vpc-policy"></a>

Par défaut, la politique de point de terminaison autorise un accès total à S3 pour n'importe quel utilisateur ou service au sein de votre VPC. Pour limiter l'accès à S3, créez une politique de point de terminaison personnalisé. Pour plus d’informations, consultez [Utilisation des politiques de point de terminaison pour Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Vous pouvez également utiliser une politique de compartiment pour restreindre l'accès à vos compartiments S3 uniquement au trafic issu de votre Amazon VPC. Pour obtenir des informations, consultez [Utilisation de politiques de compartiment Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).

#### Restreindre l’installation de packages sur le conteneur d’entraînement
<a name="train-vpc-policy-repos"></a>

La politique de point de terminaison par défaut permet aux utilisateurs d'installer des packages à partir des référentiels Amazon Linux et Amazon Linux 2 sur le conteneur d'entraînement. Si vous ne voulez pas que les utilisateurs installent des packages à partir de ce référentiel, créez une politique de point de terminaison personnalisée qui refuse explicitement l'accès aux référentiels Amazon Linux et Amazon Linux 2. Voici un exemple de politique qui refuse l'accès à ces référentiels :

```
{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}
```

### Configuration des tables de routage
<a name="train-vpc-route-table"></a>

Utilisez les paramètres DNS par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemple`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) soit résolu. Si vous n'utilisez pas les paramètres DNS par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos tâches de formation sont résolus en configurant les tables de routage des points de terminaison. Pour obtenir des informations sur les tables de routage de point de terminaison d’un VPC, consultez [Routage des points de terminaison de passerelle](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) dans le *Guide de l’utilisateur Amazon VPC*.

### Configurer le groupe de sécurité VPC
<a name="train-vpc-groups"></a>

Dans un entraînement distribué, vous devez autoriser la communication entre les différents conteneurs d’une même tâche d’entraînement. Pour ce faire, configurez une règle pour votre groupe de sécurité qui autorise les connexions entrantes entre les membres du même groupe de sécurité. Pour les instances activées pour EFA, assurez-vous que les connexions entrantes et sortantes autorisent tout le trafic provenant du même groupe de sécurité. Pour plus d'informations, consultez [Règles des groupes de sécurité](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) dans le *Guide de l'utilisateur Amazon Virtual Private Cloud*.

### Connexion à des ressources en dehors de votre VPC
<a name="train-vpc-nat"></a>

Si vous configurez votre VPC de façon à ce qu’il ne dispose pas d’un accès Internet, les tâches d’entraînement qui utilisent ce VPC n’ont pas accès aux ressources en dehors de votre VPC. Si vos tâches d’entraînement ont besoin d’accéder à des ressources en dehors de votre VPC, fournissez-leur l’accès en effectuant l’une des actions suivantes :
+ Si votre stage de formation nécessite l'accès à un AWS service prenant en charge les points de terminaison VPC d'interface, créez un point de terminaison pour vous connecter à ce service. Pour obtenir la liste des services qui prennent en charge les points de terminaison d'interface, consultez [Points de terminaison d'un VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) (langue française non garantie) dans le *Guide de l'utilisateur Amazon VPC*. Pour plus d'informations sur la création d'un point de terminaison VPC d'interface, consultez la section Interface [VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) dans le guide de l'utilisateur d'*Amazon Virtual Private* Cloud.
+ Si votre stage de formation nécessite l'accès à un AWS service qui ne prend pas en charge les points de terminaison VPC d'interface ou à une ressource extérieure AWS, créez une passerelle NAT et configurez vos groupes de sécurité pour autoriser les connexions sortantes. Pour plus d’informations sur la configuration d’une passerelle NAT pour votre VPC, consultez [Scénario 2 : VPC avec des sous-réseaux publics et privés (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) dans le *Guide de l’utilisateur Amazon Virtual Private Cloud*.

### Surveillez les offres SageMaker de formation Amazon à l'aide de CloudWatch journaux et de statistiques
<a name="train-vpc-cloudwatch"></a>

Amazon SageMaker AI fournit des CloudWatch journaux et des statistiques Amazon pour surveiller les tâches de formation. CloudWatch fournit des mesures relatives au processeur, au processeur graphique, à la mémoire, à la mémoire graphique et au disque, ainsi qu'à la journalisation des événements. Pour plus d'informations sur le suivi des offres de SageMaker formation Amazon, consultez [Métriques Amazon SageMaker AI sur Amazon CloudWatch](monitoring-cloudwatch.md) et[SageMaker Indicateurs de l'emploi liés à](monitoring-cloudwatch.md#cloudwatch-metrics-jobs).

# Donnez aux points de terminaison hébergés par SageMaker IA un accès aux ressources de votre Amazon VPC
<a name="host-vpc"></a>

## Configuration d’un modèle pour l’accès à Amazon VPC
<a name="host-vpc-configure"></a>

Pour spécifier des sous-réseaux et des groupes de sécurité dans votre VPC privé, utilisez `VpcConfig` le paramètre de requête de [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)l'API ou fournissez ces informations lorsque vous créez un modèle dans SageMaker la console AI. SageMaker L'IA utilise ces informations pour créer des interfaces réseau et les associer à vos modèles de conteneurs. Les interfaces réseau fournissent à vos conteneurs de modèles une connexion réseau au sein de votre VPC qui n'est pas connecté à Internet. Elles permettent également à votre modèle de se connecter aux ressources de votre VPC privé.

**Note**  
Vous devez créer au moins deux sous-réseaux dans des zones de disponibilité distinctes dans votre VPC privé, même si vous n’avez qu’une seule instance d’hébergement.

Voici un exemple du paramètre `VpcConfig` que vous incluez dans votre appel à `CreateModel` :

```
VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }
```

## Configurez votre VPC privé pour SageMaker l'hébergement AI
<a name="host-vpc-vpc"></a>

Lorsque vous configurez le VPC privé pour vos modèles d' SageMaker IA, suivez les instructions suivantes. Pour plus d'informations sur la configuration d'un VPC, consultez la section [Utilisation des sous-réseaux VPCs et des sous-réseaux](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) dans le guide de l'utilisateur Amazon *VPC*.

**Topics**
+ [

### S’assurer que les sous-réseaux ont suffisamment d’adresses IP
](#host-vpc-ip)
+ [

### Création d’un point de terminaison d’un VPC Amazon S3
](#host-vpc-s3)
+ [

### Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à Amazon S3
](#host-vpc-policy)
+ [

### Ajout d'autorisations d'accès au point de terminaison pour les conteneurs s'exécutant dans un VPC aux politiques IAM personnalisées
](#host-vpc-endpoints)
+ [

### Configuration des tables de routage
](#host-vpc-route-table)
+ [

### Connexion à des ressources en dehors de votre VPC
](#model-vpc-nat)

### S’assurer que les sous-réseaux ont suffisamment d’adresses IP
<a name="host-vpc-ip"></a>

Les instances d'entraînement qui n'utilisent pas de périphérique Elastic Fabric Adapter (EFA) doivent disposer d'au moins 2 adresses IP privées. Les instances d'entraînement qui utilisent un périphérique EFA doivent disposer d'au moins 5 adresses IP privées. Pour plus d'informations, consultez [Plusieurs adresses IP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html) dans le Guide de l'utilisateur Amazon EC2.

### Création d’un point de terminaison d’un VPC Amazon S3
<a name="host-vpc-s3"></a>

Si vous configurez votre VPC afin que les conteneurs de modèle n'aient pas accès à Internet, ces derniers ne peuvent pas se connecter aux compartiments Amazon S3 qui contiennent vos données, sauf si vous créez un point de terminaison d'un VPC autorisant l'accès. En créant un point de terminaison de VPC, vous autorisez vos conteneurs de modèle à accéder aux compartiments où vous stockez vos données et artefacts de modèle. Nous vous recommandons de créer également une politique personnalisée autorisant uniquement les demandes d'accès à vos compartiments S3 provenant de votre VPC privé. Pour plus d’informations, consultez [Points de terminaison pour Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).

**Pour créer un point de terminaison d'un VPC Amazon S3 :**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Endpoints (Points de terminaison)**, puis **Create Endpoint (Créer un point de terminaison)**.

1. Pour **Nom du service**, choisissez **com.amazonaws. *region*.s3**, où *region* est le nom de la AWS région dans laquelle réside votre VPC.

1. Pour **VPC**, choisissez le VPC que vous voulez utiliser pour ce point de terminaison.

1. Pour **Configure route tables (Configurer les tables de routage)**, choisissez les tables de routage qui seront utilisées par le point de terminaison. Le service de VPC ajoute automatiquement un routage à chaque table de routage que vous choisissez et qui dirige le trafic Amazon S3 vers le nouveau point de terminaison.

1. Pour **Politique**, choisissez **Accès total** pour autoriser un accès total au service Amazon S3 par n’importe quel utilisateur ou service au sein du VPC. Pour restreindre davantage l'accès, choisissez **Custom (Personnalisé)**. Pour de plus amples informations, veuillez consulter [Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à Amazon S3](#host-vpc-policy).

### Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à Amazon S3
<a name="host-vpc-policy"></a>

La politique de point de terminaison par défaut autorise un accès total à Amazon Simple Storage Service (Amazon S3) pour n'importe quel utilisateur ou service de votre VPC. Pour limiter l'accès à Amazon S3, créez une politique de point de terminaison personnalisé. Pour plus d’informations, consultez [Utilisation des politiques de point de terminaison pour Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). 

Vous pouvez également utiliser une politique de compartiment pour restreindre l'accès à vos compartiments S3 uniquement au trafic issu de votre Amazon VPC. Pour obtenir des informations, consultez [Utilisation de politiques de compartiment Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).

#### Restriction de l'installation de packages sur le conteneur de modèles à l'aide d'une politique de point de terminaison personnalisée
<a name="host-vpc-policy-repos"></a>

La politique de point de terminaison par défaut permet aux utilisateurs d'installer des packages à partir des référentiels Amazon Linux et Amazon Linux 2 sur le conteneur de modèles. Si vous ne voulez pas que les utilisateurs installent des packages à partir de ces référentiels, créez une politique de point de terminaison personnalisée qui refuse explicitement l'accès aux référentiels Amazon Linux et Amazon Linux 2. Voici un exemple de politique qui refuse l'accès à ces référentiels :

```
{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}
```

### Ajout d'autorisations d'accès au point de terminaison pour les conteneurs s'exécutant dans un VPC aux politiques IAM personnalisées
<a name="host-vpc-endpoints"></a>

La politique gérée `SageMakerFullAccess` inclut les autorisations dont vous avez besoin pour utiliser des modèles configurés pour l’accès à l’Amazon VPC avec un point de terminaison. Ces autorisations permettent à l' SageMaker IA de créer une interface réseau élastique et de l'associer à des conteneurs modèles exécutés dans un VPC. Si vous utilisez votre propre politique IAM, vous devez ajouter les autorisations suivantes à cette politique pour utiliser les modèles configurés pour l’accès au VPC. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Pour plus d'informations sur la politique gérée `SageMakerFullAccess`, consultez [AWS politique gérée : AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess). 

### Configuration des tables de routage
<a name="host-vpc-route-table"></a>

Utilisez les paramètres DNS par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemple`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) soit résolu. Si vous n'utilisez pas les paramètres DNS par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos modèles sont résolus en configurant les tables de routage des points de terminaison. Pour obtenir des informations sur les tables de routage de point de terminaison d’un VPC, consultez [Routage des points de terminaison de passerelle](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) dans le *Guide de l’utilisateur Amazon VPC*.

### Connexion à des ressources en dehors de votre VPC
<a name="model-vpc-nat"></a>

Si vous configurez votre VPC de façon à ce qu’il ne dispose pas d’un accès Internet, les modèles qui utilisent ce VPC n’ont pas accès aux ressources en dehors de votre VPC. Si votre modèle a besoin d’accéder à des ressources en dehors de votre VPC, fournissez-lui l’accès en effectuant l’une des actions suivantes :
+ Si votre modèle a besoin d'accéder à un AWS service qui prend en charge les points de terminaison VPC d'interface, créez un point de terminaison pour vous connecter à ce service. Pour obtenir la liste des services qui prennent en charge les points de terminaison d’interface, consultez [Points de terminaison d’un VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) dans le *Guide de l’utilisateur Amazon VPC*. *Pour plus d'informations sur la création d'un point de terminaison VPC d'interface, consultez la section [Points de terminaison VPC d'interface () dans le guide de AWS PrivateLink l'](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html)utilisateur Amazon VPC.*
+ Si votre modèle a besoin d'accéder à un AWS service qui ne prend pas en charge les points de terminaison VPC d'interface ou à une ressource extérieure AWS, créez une passerelle NAT et configurez vos groupes de sécurité pour autoriser les connexions sortantes. Pour plus d’informations sur la configuration d’une passerelle NAT pour votre VPC, consultez [Scénario 2 : VPC avec des sous-réseaux publics et privés (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) dans le *Guide de l’utilisateur Amazon Virtual Private Cloud*.

# Donner aux tâches de transformation des lots l’accès aux ressources de votre Amazon VPC
<a name="batch-vpc"></a>

Pour contrôler l’accès à vos données et à vos tâches de transformation par lots, nous vous recommandons de créer un Amazon VPC privé et de le configurer afin que vos tâches ne soient pas accessibles sur l’Internet public. Vous spécifiez votre configuration de VPC lors de la création d’un modèle en spécifiant les sous-réseaux et les groupes de sécurité. Ensuite, vous spécifiez le même modèle lorsque vous créez une tâche de transformation par lots. Lorsque vous spécifiez les sous-réseaux et les groupes de sécurité, l' SageMaker IA crée des *interfaces réseau élastiques* associées à vos groupes de sécurité dans l'un des sous-réseaux. Les interfaces réseau permettent à vos conteneurs de modèles de se connecter aux ressources de votre VPC. Pour obtenir des informations sur les interfaces réseau, consultez [Interfaces réseau Elastic](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ElasticNetworkInterfaces.html) dans le *Guide de l’utilisateur Amazon VPC*.

Ce document explique comment ajouter des configurations Amazon VPC pour les tâches de transformation par lots.

## Configuration d’une tâche de transformation par lots pour l’accès à Amazon VPC
<a name="batch-vpc-configure"></a>

Pour spécifier des sous-réseaux et des groupes de sécurité dans votre VPC privé, utilisez `VpcConfig` le paramètre de requête de [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)l'API ou fournissez ces informations lorsque vous créez un modèle dans SageMaker la console AI. Spécifiez ensuite le même modèle dans le paramètre de `ModelName` requête de l'[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html)API ou dans le champ **Nom du modèle** lorsque vous créez une tâche de transformation dans la console SageMaker AI. SageMaker L'IA utilise ces informations pour créer des interfaces réseau et les associer à vos modèles de conteneurs. Les interfaces réseau fournissent à vos conteneurs de modèles une connexion réseau au sein de votre VPC qui n’est pas connecté à Internet. Elles permettent également à votre tâche de transformation par lots de se connecter aux ressources de votre VPC privé.

Voici un exemple du paramètre `VpcConfig` que vous incluez dans votre appel à `CreateModel` :

```
VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }
```

Si vous créez un modèle à l'aide de l'opération d'API `CreateModel`, le rôle d'exécution IAM que vous utilisez pour créer votre modèle doit inclure les autorisations décrites dans [CreateModel API : autorisations relatives aux rôles d'exécution](sagemaker-roles.md#sagemaker-roles-createmodel-perms), y compris les autorisations suivantes requises pour un VPC privé. 

Lorsque vous créez un modèle dans la console, si vous sélectionnez **Créer un nouveau rôle** dans la section **Paramètres du modèle**, la [AmazonSageMakerFullAccess ](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess$jsonEditor)politique utilisée pour créer le rôle contient déjà ces autorisations. Si vous sélectionnez **Enter a custom IAM role ARN (Entrer un ARN de rôle IAM personnalisé)** ou **Use existing role (Utiliser un rôle existant)**, l’ARN de rôle que vous spécifiez doit avoir une politique d’exécution associée aux autorisations suivantes. 

```
{
            "Effect": "Allow",
            "Action": [
            "ec2:CreateNetworkInterface",
            "ec2:CreateNetworkInterfacePermission",
            "ec2:DeleteNetworkInterface",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeVpcs",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeSubnets",
            "ec2:DescribeSecurityGroups"
```

## Configurez votre VPC privé pour AI SageMaker Batch Transform
<a name="batch-vpc-vpc"></a>

Lorsque vous configurez le VPC privé pour vos tâches de transformation par lots SageMaker AI, suivez les instructions suivantes. Pour plus d'informations sur la configuration d'un VPC, consultez la section [Utilisation des sous-réseaux VPCs et des sous-réseaux](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) dans le guide de l'utilisateur Amazon *VPC*.

**Topics**
+ [

### S’assurer que les sous-réseaux ont suffisamment d’adresses IP
](#batch-vpc-ip)
+ [

### Création d’un point de terminaison d’un VPC Amazon S3
](#batch-vpc-s3)
+ [

### Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3
](#batch-vpc-policy)
+ [

### Configuration des tables de routage
](#batch-vpc-route-table)
+ [

### Configurer le groupe de sécurité VPC
](#batch-vpc-groups)
+ [

### Connexion à des ressources en dehors de votre VPC
](#batch-vpc-nat)

### S’assurer que les sous-réseaux ont suffisamment d’adresses IP
<a name="batch-vpc-ip"></a>

Vos sous-réseaux VPC doivent avoir au moins deux adresses IP privées pour chaque instance dans une tâche de transformation. Pour plus d'informations, consultez la section relative au [dimensionnement des VPC et des sous-réseaux dans le guide de l' IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4)utilisateur Amazon *VPC*.

### Création d’un point de terminaison d’un VPC Amazon S3
<a name="batch-vpc-s3"></a>

Si vous configurez votre VPC afin que les conteneurs de modèle n'aient pas accès à Internet, ces derniers ne peuvent pas se connecter aux compartiments Amazon S3 qui contiennent vos données, sauf si vous créez un point de terminaison d'un VPC autorisant l'accès. En créant un point de terminaison de VPC, vous autorisez vos conteneurs de modèle à accéder aux compartiments où vous stockez vos données et artefacts de modèle. Nous vous recommandons de créer également une politique personnalisée autorisant uniquement les demandes d'accès à vos compartiments S3 provenant de votre VPC privé. Pour plus d’informations, consultez [Points de terminaison pour Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).

**Pour créer un point de terminaison de VPC S3 :**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Endpoints (Points de terminaison)**, puis **Create Endpoint (Créer un point de terminaison)**.

1. Pour **Nom du service**, choisissez **com.amazonaws. *region*.s3**, où *region* est le nom de la région où réside votre VPC.

1. Pour **VPC**, choisissez le VPC que vous voulez utiliser pour ce point de terminaison.

1. Pour **Configure route tables (Configurer les tables de routage)**, sélectionnez les tables de routage à utiliser par le point de terminaison. Le service de VPC ajoute automatiquement un routage à chaque table de routage que vous sélectionnez et qui dirige le trafic S3 vers le nouveau point de terminaison.

1. Pour **Policy** (Politique), choisissez **Full Access (Accès total)** pour autoriser un accès total au service S3 par n'importe quel utilisateur ou service au sein du VPC. Choisissez **Personnalisé** pour restreindre l’accès davantage. Pour plus d'informations, consultez [Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3](#batch-vpc-policy).

### Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3
<a name="batch-vpc-policy"></a>

Par défaut, la politique de point de terminaison autorise un accès total à S3 pour n'importe quel utilisateur ou service au sein de votre VPC. Pour limiter l'accès à S3, créez une politique de point de terminaison personnalisé. Pour plus d’informations, consultez [Utilisation des politiques de point de terminaison pour Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Vous pouvez également utiliser une politique de compartiment pour restreindre l'accès à vos compartiments S3 uniquement au trafic issu de votre Amazon VPC. Pour obtenir des informations, consultez [Utilisation de politiques de compartiment Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).

#### Restreindre l’installation de packages sur le conteneur de modèles
<a name="batch-vpc-policy-repos"></a>

La politique de point de terminaison par défaut permet aux utilisateurs d'installer des packages à partir des référentiels Amazon Linux et Amazon Linux 2 sur le conteneur d'entraînement. Si vous ne voulez pas que les utilisateurs installent des packages à partir de ce référentiel, créez une politique de point de terminaison personnalisée qui refuse explicitement l'accès aux référentiels Amazon Linux et Amazon Linux 2. Voici un exemple de politique qui refuse l'accès à ces référentiels :

```
{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}
```

### Configuration des tables de routage
<a name="batch-vpc-route-table"></a>

Utilisez les paramètres DNS par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemple`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) soit résolu. Si vous n'utilisez pas les paramètres DNS par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos tâches de transformation par lots sont résolus en configurant les tables de routage des points de terminaison. Pour obtenir des informations sur les tables de routage de point de terminaison d’un VPC, consultez [Routage des points de terminaison de passerelle](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) dans le *Guide de l’utilisateur Amazon VPC*.

### Configurer le groupe de sécurité VPC
<a name="batch-vpc-groups"></a>

Dans une transformation par lots distribuée, vous devez autoriser la communication entre les différents conteneurs d’une même tâche de transformation. Pour ce faire, configurez une règle pour votre groupe de sécurité qui autorise les connexions entrantes et sortantes entre les membres d'un même groupe de sécurité. Les membres d'un même groupe de sécurité doivent pouvoir communiquer entre eux sur tous les ports. Pour plus d’informations, consultez [Règles des groupes de sécurité](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).

### Connexion à des ressources en dehors de votre VPC
<a name="batch-vpc-nat"></a>

Si vous configurez votre VPC de façon à ce qu’il ne dispose pas d’un accès Internet, les tâches de transformation par lots qui utilisent ce VPC n’ont pas accès aux ressources en dehors de votre VPC. Si vos tâches de transformation par lots ont besoin d’accéder à des ressources en dehors de votre VPC, accordez-leur l’accès en effectuant l’une des actions suivantes :
+ Si votre tâche de transformation par lots nécessite l'accès à un AWS service prenant en charge les points de terminaison VPC d'interface, créez un point de terminaison pour vous connecter à ce service. Pour obtenir la liste des services qui prennent en charge les points de terminaison d’interface, consultez [Points de terminaison d’un VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) dans le *Guide de l’utilisateur Amazon VPC*. *Pour plus d'informations sur la création d'un point de terminaison VPC d'interface, consultez la section [Points de terminaison VPC d'interface () dans le guide de AWS PrivateLink l'](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html)utilisateur Amazon VPC.*
+ Si votre tâche de transformation par lots nécessite l'accès à un AWS service qui ne prend pas en charge les points de terminaison VPC d'interface ou à une ressource extérieure AWS, créez une passerelle NAT et configurez vos groupes de sécurité pour autoriser les connexions sortantes. Pour plus d’informations sur la configuration d’une passerelle NAT pour votre VPC, consultez [Scénario 2 : VPC avec des sous-réseaux publics et privés (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) dans le *Guide de l’utilisateur Amazon Virtual Private Cloud*.

# Donnez à Amazon SageMaker Clarify Jobs l'accès aux ressources de votre Amazon VPC
<a name="clarify-vpc"></a>

Pour contrôler l'accès à vos données et SageMaker clarifier les tâches, nous vous recommandons de créer un Amazon VPC privé et de le configurer de manière à ce que vos tâches ne soient pas accessibles sur Internet public. Pour plus d'informations sur la création et la configuration d'un Amazon VPC pour le traitement des tâches, consultez [Autoriser les tâches de SageMaker traitement à accéder aux ressources de votre Amazon VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc). 

Ce document explique comment ajouter des configurations Amazon VPC supplémentaires répondant aux exigences des tâches SageMaker Clarify.

**Topics**
+ [

## Configurer une tâche SageMaker Clarify pour Amazon VPC Access
](#clarify-vpc-config)
+ [

## Configurez votre Amazon VPC privé pour SageMaker les tâches Clarify
](#clarify-vpc-vpc)

## Configurer une tâche SageMaker Clarify pour Amazon VPC Access
<a name="clarify-vpc-config"></a>

Vous devez spécifier des sous-réseaux et des groupes de sécurité lors de la configuration de votre Amazon VPC privé pour les tâches Clarify et SageMaker pour permettre à la tâche d'obtenir des inférences à partir du modèle d'IA lors du calcul des mesures de biais après SageMaker l'entraînement et des contributions aux fonctionnalités qui aident à expliquer les prédictions du modèle.

**Topics**
+ [

### SageMaker Clarifier les sous-réseaux et groupes de sécurité Amazon VPC de Job
](#clarify-vpc-job)
+ [

### Configuration d’un modèle Amazon VPC pour l’inférence
](#clarify-vpc-model)

### SageMaker Clarifier les sous-réseaux et groupes de sécurité Amazon VPC de Job
<a name="clarify-vpc-job"></a>

Les sous-réseaux et les groupes de sécurité de votre Amazon VPC privé peuvent être affectés à SageMaker une tâche Clarify de différentes manières, en fonction de la manière dont vous créez la tâche.
+ **SageMaker Console AI** : fournissez ces informations lorsque vous créez la tâche dans le tableau de **bord SageMaker AI**. De le menu **Processing (Traitement)**, choisissez **Processing jobs (Tâches de traitement)**, puis choisissez **Create processing job (Créer une tâche de traitement)**. Sélectionnez l’option **VPC** dans le panneau **Network** (Réseau) et indiquez les sous-réseaux et les groupes de sécurité à l’aide des listes déroulantes. Assurez-vous que l'option d'isolement réseau fournie dans ce panneau est désactivée.
+ **SageMaker API** : utilisez le paramètre de `NetworkConfig.VpcConfig` requête de l'[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob)API, comme indiqué dans l'exemple suivant :

  ```
  "NetworkConfig": {
      "VpcConfig": {
          "Subnets": [
              "subnet-0123456789abcdef0",
              "subnet-0123456789abcdef1",
              "subnet-0123456789abcdef2"
          ],
          "SecurityGroupIds": [
              "sg-0123456789abcdef0"
          ]
      }
  }
  ```
+ **SageMaker SDK Python** : utilisez le `NetworkConfig` paramètre de l'[https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor)API ou de l'[https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor)API, comme indiqué dans l'exemple suivant :

  ```
  from sagemaker.network import NetworkConfig
  network_config = NetworkConfig(
      subnets=[
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2",
      ],
      security_group_ids=[
          "sg-0123456789abcdef0",
      ],
  )
  ```

SageMaker L'IA utilise les informations pour créer des interfaces réseau et les associer à la tâche SageMaker Clarify. Les interfaces réseau fournissent une tâche SageMaker Clarify avec une connexion réseau au sein de votre Amazon VPC qui n'est pas connectée à l'Internet public. Ils permettent également à la tâche SageMaker Clarify de se connecter aux ressources de votre Amazon VPC privé.

**Note**  
L'option d'isolation réseau de la tâche SageMaker Clarify doit être désactivée (par défaut, elle est désactivée) afin que la tâche SageMaker Clarify puisse communiquer avec le point de terminaison fantôme.

### Configuration d’un modèle Amazon VPC pour l’inférence
<a name="clarify-vpc-model"></a>

Afin de calculer les mesures de biais et l'explicabilité après l'entraînement, la tâche SageMaker Clarify doit obtenir des inférences à partir du modèle d' SageMaker IA spécifié par le `model_name` paramètre de [configuration d'analyse](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html#clarify-processing-job-configure-analysis) pour la SageMaker tâche de traitement Clarify. Sinon, si vous utilisez l'`SageMakerClarifyProcessor`API du SDK SageMaker AI Python, la tâche doit obtenir la valeur `model_name` spécifiée par la [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig)classe. Pour ce faire, la tâche SageMaker Clarify crée un point de terminaison éphémère avec le modèle, connu sous le nom de point de *terminaison fantôme*, puis applique la configuration Amazon VPC du modèle au point de terminaison fantôme.

Pour spécifier des sous-réseaux et des groupes de sécurité dans votre Amazon VPC privé pour SageMaker le modèle AI, utilisez le paramètre de requête de `VpcConfig` [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel)l'API ou fournissez ces informations lorsque vous créez le modèle à l'aide du tableau de bord AI de SageMaker la console. Voici un exemple du paramètre `VpcConfig` que vous incluez dans votre appel à `CreateModel` : 

```
"VpcConfig": {
    "Subnets": [
        "subnet-0123456789abcdef0",
        "subnet-0123456789abcdef1",
        "subnet-0123456789abcdef2"
    ],
    "SecurityGroupIds": [
        "sg-0123456789abcdef0"
    ]
}
```

Vous pouvez spécifier le nombre d'instances du point de terminaison fantôme à lancer à l'aide du `initial_instance_count` paramètre de [configuration d'analyse](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html#clarify-processing-job-configure-analysis) pour la tâche de traitement SageMaker Clarify. Sinon, si vous utilisez l'`SageMakerClarifyProcessor`API du SDK SageMaker AI Python, la tâche doit obtenir la valeur `instance_count` spécifiée par la [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig)classe.

**Note**  
Même si vous ne demandez qu'une seule instance lors de la création du point de terminaison fantôme, vous avez besoin d'au moins deux sous-réseaux dans le modèle, [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig)dans des zones de disponibilité distinctes. Sinon, la création du point de terminaison fantôme échoue avec l'erreur suivante :  
ClientError: Erreur lors de l'hébergement du point de terminaison sagemaker-clarify-endpoint-XXX : échec. Raison : Impossible de localiser au moins 2 zones de disponibilité avec le type d'instance demandé YYY qui se chevauchent avec des sous-réseaux SageMaker AI.

Si votre modèle nécessite des fichiers de modèle dans Amazon S3, le modèle Amazon VPC doit disposer d’un point de terminaison de VPC Amazon S3. Pour plus d'informations sur la création et la configuration d'un Amazon VPC pour les modèles d' SageMaker IA, consultez. [Donnez aux points de terminaison hébergés par SageMaker IA un accès aux ressources de votre Amazon VPC](host-vpc.md) 

## Configurez votre Amazon VPC privé pour SageMaker les tâches Clarify
<a name="clarify-vpc-vpc"></a>

En général, vous pouvez suivre les étapes décrites dans [Configurer votre VPC privé pour le SageMaker traitement afin de configurer votre VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc.html#process-vpc-vpc) Amazon privé pour les tâches Clarify. SageMaker Voici quelques points saillants et exigences particulières pour les tâches SageMaker Clarify.

**Topics**
+ [

### Connexion à des ressources en dehors de votre Amazon VPC
](#clarify-vpc-nat)
+ [

### Configurer le groupe de sécurité Amazon VPC
](#clarify-vpc-security-group)

### Connexion à des ressources en dehors de votre Amazon VPC
<a name="clarify-vpc-nat"></a>

Si vous configurez votre Amazon VPC de manière à ce qu'il ne dispose pas d'un accès public à Internet, une configuration supplémentaire est nécessaire pour permettre aux tâches SageMaker Clarify d'accéder à des ressources et à des services extérieurs à votre Amazon VPC. Par exemple, un point de terminaison Amazon S3 VPC est requis car une tâche SageMaker Clarify doit charger un ensemble de données à partir d'un compartiment S3 et enregistrer les résultats de l'analyse dans un compartiment S3. Pour plus d’informations, consultez [Créer un point de terminaison de VPC Amazon S3](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc.html#process-vpc-s3) pour le guide de création. En outre, si une tâche SageMaker Clarify doit obtenir des déductions à partir du point de terminaison fantôme, elle doit appeler plusieurs autres AWS services. 
+ **Créer un point de terminaison VPC du service d' SageMaker API Amazon** : la tâche SageMaker Clarify doit appeler le service d' SageMaker API Amazon pour manipuler le point de terminaison fantôme ou pour décrire un modèle d' SageMaker IA pour la validation d'Amazon VPC. Vous pouvez suivre les instructions fournies dans le AWS PrivateLink blog [Sécuriser tous les appels d' SageMaker API Amazon avec](https://aws.amazon.com/blogs/machine-learning/securing-all-amazon-sagemaker-api-calls-with-aws-privatelink/) pour créer un point de terminaison VPC Amazon SageMaker API permettant à la tâche SageMaker Clarify de passer les appels de service. Notez que le nom du service Amazon SageMaker API est`com.amazonaws.region.sagemaker.api`, où *region* est le nom de la région où réside votre Amazon VPC.
+ **Créez un point de terminaison VPC Amazon SageMaker AI Runtime** : la tâche SageMaker Clarify doit appeler le service d'exécution Amazon SageMaker AI, qui achemine les appels vers le point de terminaison fantôme. Les étapes de configuration sont similaires à celles du service Amazon SageMaker API. Notez que le nom du service Amazon SageMaker AI Runtime est`com.amazonaws.region.sagemaker.runtime`, où *region* est le nom de la région où réside votre Amazon VPC.

### Configurer le groupe de sécurité Amazon VPC
<a name="clarify-vpc-security-group"></a>

SageMaker Les tâches Clarify prennent en charge le traitement distribué lorsque deux instances de traitement ou plus sont spécifiées de l'une des manières suivantes :
+ **SageMaker Console AI** : le **nombre d'instances** est spécifié dans la partie **Configuration des ressources** du panneau des **paramètres de la tâche** sur la page **Créer une tâche de traitement**.
+ **SageMaker API** : elle `InstanceCount` est spécifiée lorsque vous créez la tâche avec l'[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob)API.
+ **SageMaker SDK Python** : le `instance_count` est spécifié lors de l'utilisation de l'[SageMakerClarifyProcessor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor)API ou de l'API du [processeur](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor).

Dans un traitement distribué, vous devez autoriser la communication entre les différentes instances d'une même tâche de traitement. Pour ce faire, configurez une règle pour votre groupe de sécurité qui autorise les connexions entrantes entre les membres du même groupe de sécurité. Pour obtenir des informations, consultez [Règles des groupes de sécurité](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).

# Donnez aux tâches de compilation SageMaker AI un accès aux ressources de votre Amazon VPC
<a name="neo-vpc"></a>

**Note**  
Pour les tâches de compilation, vous pouvez uniquement configurer des sous-réseaux avec un VPC de location par défaut dans lequel votre tâche s’exécute sur un matériel partagé. Pour plus d'informations sur l'attribut de location pour VPCs, consultez [Instances dédiées](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).

## Configuration d’une tâche de compilation pour l’accès à Amazon VPC
<a name="neo-vpc-configure"></a>

Pour spécifier des sous-réseaux et des groupes de sécurité dans votre VPC privé, utilisez `VpcConfig` le paramètre de requête de [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html)l'API ou fournissez ces informations lorsque vous créez une tâche de compilation dans SageMaker la console AI. SageMaker AI Neo utilise ces informations pour créer des interfaces réseau et les associer à vos tâches de compilation. Les interfaces réseau fournissent à vos tâches de compilation une connexion réseau au sein de votre VPC qui n’est pas connecté à Internet. Elles permettent également à votre tâche de compilation de se connecter aux ressources de votre VPC privé. Voici un exemple du paramètre `VpcConfig` que vous incluez dans votre appel à `CreateCompilationJob` :

```
VpcConfig: {"Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }
```

## Configurez votre VPC privé pour SageMaker la compilation AI
<a name="neo-vpc-vpc"></a>

Lorsque vous configurez le VPC privé pour vos tâches de compilation SageMaker AI, suivez les directives suivantes. Pour plus d'informations sur la configuration d'un VPC, consultez la section [Utilisation des sous-réseaux VPCs et des sous-réseaux](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) dans le guide de l'utilisateur Amazon *VPC*.

**Topics**
+ [

### S’assurer que les sous-réseaux ont suffisamment d’adresses IP
](#neo-vpc-ip)
+ [

### Création d’un point de terminaison d’un VPC Amazon S3
](#neo-vpc-s3)
+ [

### Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3
](#neo-vpc-policy)
+ [

### Configuration des tables de routage
](#neo-vpc-route-table)
+ [

### Configurer le groupe de sécurité VPC
](#neo-vpc-groups)

### S’assurer que les sous-réseaux ont suffisamment d’adresses IP
<a name="neo-vpc-ip"></a>

Vos sous-réseaux VPC doivent avoir au moins deux adresses IP privées pour chaque instance dans une tâche de compilation. Pour plus d'informations, consultez la section relative au [dimensionnement des VPC et des sous-réseaux dans le guide de l' IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4)utilisateur Amazon *VPC*.

### Création d’un point de terminaison d’un VPC Amazon S3
<a name="neo-vpc-s3"></a>

Si vous configurez votre VPC pour bloquer l'accès à Internet, SageMaker Neo ne peut pas se connecter aux compartiments Amazon S3 contenant vos modèles, sauf si vous créez un point de terminaison VPC autorisant l'accès. En créant un point de terminaison VPC, vous autorisez vos tâches de compilation SageMaker Neo à accéder aux compartiments dans lesquels vous stockez vos données et vos artefacts de modèle. Nous vous recommandons de créer également une politique personnalisée autorisant uniquement les demandes d'accès à vos compartiments S3 provenant de votre VPC privé. Pour plus d’informations, consultez [Points de terminaison pour Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).

**Pour créer un point de terminaison de VPC S3 :**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Endpoints (Points de terminaison)**, puis **Create Endpoint (Créer un point de terminaison)**.

1. Pour le **nom du service**, recherchez **com.amazonaws. *region*.s3**, où *region* est le nom de la région où réside votre VPC.

1. Choisissez le type **Passerelle**.

1. Pour **VPC**, choisissez le VPC que vous voulez utiliser pour ce point de terminaison.

1. Pour **Configure route tables (Configurer les tables de routage)**, sélectionnez les tables de routage à utiliser par le point de terminaison. Le service de VPC ajoute automatiquement un routage à chaque table de routage que vous sélectionnez et qui dirige le trafic S3 vers le nouveau point de terminaison.

1. Pour **Policy** (Politique), choisissez **Full Access (Accès total)** pour autoriser un accès total au service S3 par n'importe quel utilisateur ou service au sein du VPC. Choisissez **Personnalisé** pour restreindre l’accès davantage. Pour plus d'informations, consultez [Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3](train-vpc.md#train-vpc-policy).

### Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3
<a name="neo-vpc-policy"></a>

Par défaut, la politique de point de terminaison autorise un accès total à S3 pour n'importe quel utilisateur ou service au sein de votre VPC. Pour limiter l'accès à S3, créez une politique de point de terminaison personnalisé. Pour plus d’informations, consultez [Utilisation des politiques de point de terminaison pour Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Vous pouvez également utiliser une politique de compartiment pour restreindre l'accès à vos compartiments S3 uniquement au trafic issu de votre Amazon VPC. Pour obtenir des informations, consultez [Utilisation de politiques de compartiment Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies). Voici un exemple de politique personnalisée :

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::your-sample-bucket",
                "arn:aws:s3:::your-sample-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "aws:SourceVpce": [
                        "vpce-1a2b3c4d"
                    ]
                }
            }
        }
    ]
}
```

------

#### Ajouter des autorisations pour la tâche de compilation en cours d'exécution dans un VPC Amazon à des politiques IAM personnalisées
<a name="neo-vpc-custom-iam"></a>

La politique gérée `SageMakerFullAccess` inclut les autorisations dont vous avez besoin pour utiliser des modèles configurés pour l'accès à l'Amazon VPC avec un point de terminaison. Ces autorisations permettent à SageMaker Neo de créer une interface réseau élastique et de l'associer à une tâche de compilation exécutée dans un Amazon VPC. Si vous utilisez votre propre politique IAM, vous devez ajouter les autorisations suivantes à cette politique pour utiliser les modèles configurés pour l'accès à Amazon VPC.

------
#### [ JSON ]

****  

```
{"Version":"2012-10-17",		 	 	 
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Pour plus d’informations sur la politique gérée `SageMakerFullAccess`, consultez [AWS politique gérée : AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).

### Configuration des tables de routage
<a name="neo-vpc-route-table"></a>

Utilisez les paramètres DNS par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemple`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) soit résolu. Si vous n'utilisez pas les paramètres DNS par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos tâches de compilation sont résolus en configurant les tables de routage des points de terminaison. Pour obtenir des informations sur les tables de routage de point de terminaison d’un VPC, consultez [Routage des points de terminaison de passerelle](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) dans le *Guide de l’utilisateur Amazon VPC*.

### Configurer le groupe de sécurité VPC
<a name="neo-vpc-groups"></a>

Dans votre groupe de sécurité pour la tâche de compilation, vous devez autoriser la communication sortante vers vos points de terminaison d'un VPC Amazon S3 et les plages CIDR de sous-réseau utilisées pour la tâche de compilation. Pour obtenir des informations, consultez [Règles des groupes de sécurité](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) et [Contrôler l’accès aux services avec les points de terminaison Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html).

# Donner aux tâches Inference Recommender l'accès aux ressources de votre VPC Amazon
<a name="inference-recommender-vpc-access"></a>

**Note**  
Inference Recommender vous demande d'enregistrer votre modèle auprès de Model Registry. Notez que Model Registry n'autorise pas la restriction VPC de vos artefacts de modèle ou de votre image Amazon ECR.  
Inference Recommender exige également que votre exemple de charge utile Amazon S3 ne soit pas soumis à une restriction VPC. Pour les tâches de recommandation d’inférence, vous ne pouvez pas créer une politique personnalisée autorisant uniquement les demandes d’accès à vos compartiments S3 provenant de votre VPC privé.

Pour spécifier des sous-réseaux et des groupes de sécurité dans votre VPC privé, utilisez `RecommendationJobVpcConfig` le paramètre de requête de [CreateInferenceRecommendationsJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html)l'API ou spécifiez vos sous-réseaux et groupes de sécurité lorsque vous créez une tâche de recommandation dans SageMaker la console AI.

Inference Recommender utilise ces informations pour créer des points de terminaison. Lors du provisionnement de points de terminaison, l' SageMaker IA crée des interfaces réseau et les attache à vos points de terminaison. Les interfaces réseau fournissent à vos points de terminaison une connexion réseau à votre VPC. Voici un exemple du paramètre `VpcConfig` que vous incluez dans un appel à `CreateInferenceRecommendationsJob` :

```
VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }
```

Pour plus d’informations sur la configuration de votre VPC Amazon pour une utilisation avec les tâches Inference Recommender, consultez les rubriques suivantes.

**Topics**
+ [

## S'assurer que les sous-réseaux ont suffisamment d'adresses IP
](#inference-recommender-vpc-access-subnets)
+ [

## Création d'un point de terminaison d'un VPC Amazon S3
](#inference-recommender-vpc-access-endpoint)
+ [

## Ajouter des autorisations pour les tâches Inference Recommender dans un VPC Amazon à des politiques IAM personnalisées
](#inference-recommender-vpc-access-permissions)
+ [

## Configuration des tables de routage
](#inference-recommender-vpc-access-route-tables)
+ [

## Configurer le groupe de sécurité VPC
](#inference-recommender-vpc-access-security-group)

## S'assurer que les sous-réseaux ont suffisamment d'adresses IP
<a name="inference-recommender-vpc-access-subnets"></a>

Vos sous-réseaux VPC doivent avoir au moins deux adresses IP privées pour chaque instance dans une tâche de recommandation d'inférence. Pour plus d’informations sur les sous-réseaux et les adresses IP privées, consultez [Fonctionnement d’Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) dans le *Guide de l’utilisateur Amazon VPC*.

## Création d'un point de terminaison d'un VPC Amazon S3
<a name="inference-recommender-vpc-access-endpoint"></a>

Si vous configurez votre VPC pour bloquer l’accès à Internet, Inference Recommender ne peut pas se connecter aux compartiments Amazon S3 qui contiennent vos modèles, sauf si vous créez un point de terminaison d’un VPC autorisant l’accès. En créant un point de terminaison VPC, vous autorisez vos tâches de recommandation d'inférence basées sur l' SageMaker IA à accéder aux compartiments dans lesquels vous stockez vos données et vos artefacts de modèle.

Pour créer un point de terminaison d’un VPC Amazon S3, procédez comme suit :

1. Ouvrez la [console VPC Amazon](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Endpoints (Points de terminaison)**, puis **Create Endpoint (Créer un point de terminaison)**.

1. Pour **Service Name** (Nom de service), recherchez `com.amazonaws.region.s3`, où `region` correspond au nom de la région où se trouve votre VPC.

1. Choisissez le type **Passerelle**.

1. Pour **VPC**, choisissez le VPC que vous voulez utiliser pour ce point de terminaison.

1. Pour **Configurer les tables de routage**, sélectionnez les tables de routage à utiliser par le point de terminaison. Le service de VPC ajoute automatiquement un routage à chaque table de routage que vous sélectionnez et qui dirige le trafic Amazon S3 vers le nouveau point de terminaison.

1. Pour **Politique**, choisissez **Accès total** pour autoriser un accès total au service Amazon S3 par n’importe quel utilisateur ou service au sein du VPC.

## Ajouter des autorisations pour les tâches Inference Recommender dans un VPC Amazon à des politiques IAM personnalisées
<a name="inference-recommender-vpc-access-permissions"></a>

La politique gérée `[ AmazonSageMakerFullAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSageMakerFullAccess)` inclut les autorisations dont vous avez besoin pour utiliser des modèles configurés pour l’accès à l’Amazon VPC avec un point de terminaison. Ces autorisations permettent à Inference Recommender de créer une interface réseau Elastic et de l'attacher à la tâche de recommandation d'inférence qui s'exécute dans un VPC Amazon. Si vous utilisez votre propre politique IAM, vous devez ajouter les autorisations suivantes à cette politique pour utiliser les modèles configurés pour l’accès à Amazon VPC.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}
```

------



## Configuration des tables de routage
<a name="inference-recommender-vpc-access-route-tables"></a>

Utilisez les paramètres DNS par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemple :`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) soit résolu. Si vous n'utilisez pas les paramètres DNS par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos tâches de recommandation d'inférence sont résolus en configurant les tables de routage des points de terminaison. Pour obtenir des informations sur les tables de routage de point de terminaison d’un VPC, consultez [Routage des points de terminaison de passerelle](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) dans le *Guide de l’utilisateur Amazon VPC*.

## Configurer le groupe de sécurité VPC
<a name="inference-recommender-vpc-access-security-group"></a>

Dans votre groupe de sécurité pour la tâche de recommandation d'inférence, vous devez autoriser la communication sortante vers vos points de terminaison d'un VPC Amazon S3 et les plages CIDR de sous-réseau utilisées pour la tâche de recommandation d'inférence. Pour obtenir des informations, consultez [Règles des groupes de sécurité](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) et [Contrôler l’accès aux services avec les points de terminaison Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html) dans le *Guide de l’utilisateur Amazon VPC*.