Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Donnez aux tâches de compilation SageMaker AI un accès aux ressources de votre Amazon VPC
<a name="neo-vpc"></a>

**Note**  
Pour les tâches de compilation, vous pouvez uniquement configurer des sous-réseaux avec un VPC de location par défaut dans lequel votre tâche s’exécute sur un matériel partagé. Pour plus d'informations sur l'attribut de location pour VPCs, consultez [Instances dédiées](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).

## Configuration d’une tâche de compilation pour l’accès à Amazon VPC
<a name="neo-vpc-configure"></a>

Pour spécifier des sous-réseaux et des groupes de sécurité dans votre VPC privé, utilisez `VpcConfig` le paramètre de requête de [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html)l'API ou fournissez ces informations lorsque vous créez une tâche de compilation dans SageMaker la console AI. SageMaker AI Neo utilise ces informations pour créer des interfaces réseau et les associer à vos tâches de compilation. Les interfaces réseau fournissent à vos tâches de compilation une connexion réseau au sein de votre VPC qui n’est pas connecté à Internet. Elles permettent également à votre tâche de compilation de se connecter aux ressources de votre VPC privé. Voici un exemple du paramètre `VpcConfig` que vous incluez dans votre appel à `CreateCompilationJob` :

```
VpcConfig: {"Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }
```

## Configurez votre VPC privé pour SageMaker la compilation AI
<a name="neo-vpc-vpc"></a>

Lorsque vous configurez le VPC privé pour vos tâches de compilation SageMaker AI, suivez les directives suivantes. Pour plus d'informations sur la configuration d'un VPC, consultez la section [Utilisation des sous-réseaux VPCs et des sous-réseaux](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) dans le guide de l'utilisateur Amazon *VPC*.

**Topics**
+ [S’assurer que les sous-réseaux ont suffisamment d’adresses IP](#neo-vpc-ip)
+ [Création d’un point de terminaison d’un VPC Amazon S3](#neo-vpc-s3)
+ [Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3](#neo-vpc-policy)
+ [Configuration des tables de routage](#neo-vpc-route-table)
+ [Configurer le groupe de sécurité VPC](#neo-vpc-groups)

### S’assurer que les sous-réseaux ont suffisamment d’adresses IP
<a name="neo-vpc-ip"></a>

Vos sous-réseaux VPC doivent avoir au moins deux adresses IP privées pour chaque instance dans une tâche de compilation. Pour plus d'informations, consultez la section relative au [dimensionnement des VPC et des sous-réseaux dans le guide de l' IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4)utilisateur Amazon *VPC*.

### Création d’un point de terminaison d’un VPC Amazon S3
<a name="neo-vpc-s3"></a>

Si vous configurez votre VPC pour bloquer l'accès à Internet, SageMaker Neo ne peut pas se connecter aux compartiments Amazon S3 contenant vos modèles, sauf si vous créez un point de terminaison VPC autorisant l'accès. En créant un point de terminaison VPC, vous autorisez vos tâches de compilation SageMaker Neo à accéder aux compartiments dans lesquels vous stockez vos données et vos artefacts de modèle. Nous vous recommandons de créer également une politique personnalisée autorisant uniquement les demandes d'accès à vos compartiments S3 provenant de votre VPC privé. Pour plus d’informations, consultez [Points de terminaison pour Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).

**Pour créer un point de terminaison de VPC S3 :**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Endpoints (Points de terminaison)**, puis **Create Endpoint (Créer un point de terminaison)**.

1. Pour le **nom du service**, recherchez **com.amazonaws. *region*.s3**, où *region* est le nom de la région où réside votre VPC.

1. Choisissez le type **Passerelle**.

1. Pour **VPC**, choisissez le VPC que vous voulez utiliser pour ce point de terminaison.

1. Pour **Configure route tables (Configurer les tables de routage)**, sélectionnez les tables de routage à utiliser par le point de terminaison. Le service de VPC ajoute automatiquement un routage à chaque table de routage que vous sélectionnez et qui dirige le trafic S3 vers le nouveau point de terminaison.

1. Pour **Policy** (Politique), choisissez **Full Access (Accès total)** pour autoriser un accès total au service S3 par n'importe quel utilisateur ou service au sein du VPC. Choisissez **Personnalisé** pour restreindre l’accès davantage. Pour plus d'informations, consultez [Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3](train-vpc.md#train-vpc-policy).

### Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3
<a name="neo-vpc-policy"></a>

Par défaut, la politique de point de terminaison autorise un accès total à S3 pour n'importe quel utilisateur ou service au sein de votre VPC. Pour limiter l'accès à S3, créez une politique de point de terminaison personnalisé. Pour plus d’informations, consultez [Utilisation des politiques de point de terminaison pour Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Vous pouvez également utiliser une politique de compartiment pour restreindre l'accès à vos compartiments S3 uniquement au trafic issu de votre Amazon VPC. Pour obtenir des informations, consultez [Utilisation de politiques de compartiment Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies). Voici un exemple de politique personnalisée :

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::your-sample-bucket",
                "arn:aws:s3:::your-sample-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "aws:SourceVpce": [
                        "vpce-1a2b3c4d"
                    ]
                }
            }
        }
    ]
}
```

------

#### Ajouter des autorisations pour la tâche de compilation en cours d'exécution dans un VPC Amazon à des politiques IAM personnalisées
<a name="neo-vpc-custom-iam"></a>

La politique gérée `SageMakerFullAccess` inclut les autorisations dont vous avez besoin pour utiliser des modèles configurés pour l'accès à l'Amazon VPC avec un point de terminaison. Ces autorisations permettent à SageMaker Neo de créer une interface réseau élastique et de l'associer à une tâche de compilation exécutée dans un Amazon VPC. Si vous utilisez votre propre politique IAM, vous devez ajouter les autorisations suivantes à cette politique pour utiliser les modèles configurés pour l'accès à Amazon VPC.

------
#### [ JSON ]

****  

```
{"Version":"2012-10-17",		 	 	 
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Pour plus d’informations sur la politique gérée `SageMakerFullAccess`, consultez [AWS politique gérée : AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).

### Configuration des tables de routage
<a name="neo-vpc-route-table"></a>

Utilisez les paramètres DNS par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemple`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) soit résolu. Si vous n'utilisez pas les paramètres DNS par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos tâches de compilation sont résolus en configurant les tables de routage des points de terminaison. Pour obtenir des informations sur les tables de routage de point de terminaison d’un VPC, consultez [Routage des points de terminaison de passerelle](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) dans le *Guide de l’utilisateur Amazon VPC*.

### Configurer le groupe de sécurité VPC
<a name="neo-vpc-groups"></a>

Dans votre groupe de sécurité pour la tâche de compilation, vous devez autoriser la communication sortante vers vos points de terminaison d'un VPC Amazon S3 et les plages CIDR de sous-réseau utilisées pour la tâche de compilation. Pour obtenir des informations, consultez [Règles des groupes de sécurité](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) et [Contrôler l’accès aux services avec les points de terminaison Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html).