Berikan Akses Pekerjaan Inferensi Rekomendasi ke Sumber Daya di VPC Amazon Anda - Amazon SageMaker AI
Pastikan subnet memiliki alamat IP yang cukupBuat titik akhir VPC Amazon S3Tambahkan izin untuk pekerjaan Inference Recommender yang berjalan di VPC Amazon ke kebijakan IAM kustomKonfigurasikan tabel ruteKonfigurasikan grup keamanan VPC

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Berikan Akses Pekerjaan Inferensi Rekomendasi ke Sumber Daya di VPC Amazon Anda

catatan

Inference Recommender mengharuskan Anda untuk mendaftarkan model Anda dengan Model Registry. Perhatikan bahwa Model Registry tidak mengizinkan artefak model atau gambar Amazon ECR Anda dibatasi oleh VPC.

Inference Recommender juga memiliki persyaratan bahwa objek Amazon S3 muatan sampel Anda tidak dibatasi oleh VPC. Untuk lowongan rekomendasi inferensi, Anda tidak dapat membuat kebijakan khusus yang hanya mengizinkan permintaan dari VPC pribadi untuk mengakses bucket Amazon S3 Anda.

Untuk menentukan subnet dan grup keamanan di VPC pribadi Anda, gunakan RecommendationJobVpcConfig parameter permintaan API, atau tentukan subnet dan grup keamanan saat Anda membuat pekerjaan rekomendasi di SageMaker konsol AI. CreateInferenceRecommendationsJob

Inference Recommender menggunakan informasi ini untuk membuat endpoint. Saat menyediakan titik akhir, SageMaker AI membuat antarmuka jaringan dan menempelkannya ke titik akhir Anda. Antarmuka jaringan menyediakan titik akhir Anda dengan koneksi jaringan ke VPC Anda. Berikut ini adalah contoh VpcConfig parameter yang Anda sertakan dalam panggilan keCreateInferenceRecommendationsJob:

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }

Lihat topik berikut untuk informasi selengkapnya tentang mengonfigurasi VPC Amazon Anda untuk digunakan dengan pekerjaan Inference Recommender.

Pastikan subnet memiliki alamat IP yang cukup

Subnet VPC Anda harus memiliki setidaknya dua alamat IP pribadi untuk setiap instance dalam pekerjaan rekomendasi inferensi. Untuk informasi selengkapnya tentang subnet dan alamat IP pribadi, lihat Cara kerja Amazon VPC di Panduan Pengguna Amazon VPC.

Buat titik akhir VPC Amazon S3

Jika Anda mengonfigurasi VPC untuk memblokir akses ke internet, Inference Recommender tidak dapat terhubung ke bucket Amazon S3 yang berisi model Anda kecuali Anda membuat titik akhir VPC yang memungkinkan akses. Dengan membuat titik akhir VPC, Anda mengizinkan pekerjaan rekomendasi inferensi SageMaker AI Anda untuk mengakses bucket tempat Anda menyimpan data dan artefak model.

Untuk membuat endpoint VPC Amazon S3, gunakan prosedur berikut:

  1. Buka konsol Amazon VPC.

  2. Di panel navigasi, pilih Endpoints, lalu pilih Create Endpoint.

  3. Untuk Nama Layanan, caricom.amazonaws.region.s3, di region mana nama Wilayah tempat VPC Anda berada.

  4. Pilih jenis Gateway.

  5. Untuk VPC, pilih VPC yang ingin Anda gunakan untuk titik akhir ini.

  6. Untuk Konfigurasi tabel rute, pilih tabel rute yang akan digunakan oleh titik akhir. Layanan VPC secara otomatis menambahkan rute ke setiap tabel rute yang Anda pilih yang mengarahkan lalu lintas Amazon S3 ke titik akhir baru.

  7. Untuk Kebijakan, pilih Akses Penuh untuk mengizinkan akses penuh ke layanan Amazon S3 oleh pengguna atau layanan apa pun dalam VPC.

Tambahkan izin untuk pekerjaan Inference Recommender yang berjalan di VPC Amazon ke kebijakan IAM kustom

Kebijakan AmazonSageMakerFullAccess terkelola mencakup izin yang Anda perlukan untuk menggunakan model yang dikonfigurasi untuk akses VPC Amazon dengan titik akhir. Izin ini memungkinkan Inference Recommender untuk membuat elastic network interface dan melampirkannya ke tugas rekomendasi inferensi yang berjalan di Amazon VPC. Jika Anda menggunakan kebijakan IAM Anda sendiri, Anda harus menambahkan izin berikut ke kebijakan tersebut untuk menggunakan model yang dikonfigurasi untuk akses VPC Amazon.

{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}

Konfigurasikan tabel rute

Gunakan pengaturan DNS default untuk tabel rute titik akhir Anda, sehingga Amazon URLs S3 standar (misalnyahttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket:) diselesaikan. Jika Anda tidak menggunakan pengaturan DNS default, pastikan bahwa yang Anda gunakan untuk menentukan lokasi data dalam pekerjaan rekomendasi inferensi Anda diselesaikan dengan mengonfigurasi tabel rute titik akhir. URLs Untuk informasi tentang tabel rute titik akhir VPC, lihat Titik akhir gateway perutean di Panduan Pengguna Amazon VPC.

Konfigurasikan grup keamanan VPC

Di grup keamanan untuk pekerjaan rekomendasi inferensi, Anda harus mengizinkan komunikasi keluar ke titik akhir VPC Amazon S3 dan rentang CIDR subnet yang digunakan untuk pekerjaan rekomendasi inferensi. Untuk selengkapnya, lihat Aturan Grup Keamanan dan Kontrol akses ke layanan dengan titik akhir Amazon VPC di Panduan Pengguna Amazon VPC.