Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Berikan Akses Pekerjaan Pemrosesan SageMaker AI ke Sumber Daya di VPC Amazon Anda
<a name="process-vpc"></a>

Untuk mengontrol akses ke data dan pekerjaan pemrosesan Anda, buat VPC Amazon dengan subnet pribadi. Untuk informasi tentang membuat dan mengonfigurasi VPC, [lihat Memulai Dengan Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-getting-started.html) di Panduan Pengguna *Amazon* VPC.

Anda dapat memantau semua lalu lintas jaringan masuk dan keluar dari wadah pemrosesan Anda dengan menggunakan log aliran VPC. Untuk informasi selengkapnya, lihat [Log Alur VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html) di *Panduan Pengguna Amazon VPC*.

Dokumen ini menjelaskan cara menambahkan konfigurasi VPC Amazon untuk memproses pekerjaan.

## Konfigurasikan Pekerjaan Pemrosesan untuk Akses VPC Amazon
<a name="process-vpc-configure"></a>

Anda mengonfigurasi pekerjaan pemrosesan dengan menentukan subnet dan grup keamanan IDs dalam VPC. Anda tidak perlu menentukan subnet untuk wadah pemrosesan. Amazon SageMaker AI secara otomatis menarik wadah pemrosesan dari Amazon ECR. Untuk informasi selengkapnya tentang memproses kontainer, lihat[Beban kerja transformasi data dengan SageMaker Processing](processing-job.md).

Saat membuat pekerjaan pemrosesan, Anda dapat menentukan subnet dan grup keamanan di VPC menggunakan konsol AI atau API. SageMaker 

Untuk menggunakan API, Anda menentukan subnet dan grup keamanan IDs dalam `NetworkConfig.VpcConfig` parameter [ CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html)operasi. SageMaker AI menggunakan subnet dan detail grup keamanan untuk membuat antarmuka jaringan dan menempelkannya ke wadah pemrosesan. Antarmuka jaringan menyediakan wadah pemrosesan dengan koneksi jaringan dalam VPC Anda. Ini memungkinkan pekerjaan pemrosesan terhubung ke sumber daya yang ada di VPC Anda.

Berikut ini adalah contoh `VpcConfig` parameter yang Anda sertakan dalam panggilan Anda ke `CreateProcessingJob` operasi:

```
VpcConfig: {
    "Subnets": [
        "subnet-0123456789abcdef0",
        "subnet-0123456789abcdef1",
        "subnet-0123456789abcdef2"
    ],    
    "SecurityGroupIds": [
        "sg-0123456789abcdef0"
    ]
}
```

## Konfigurasikan VPC Pribadi Anda untuk Pemrosesan AI SageMaker
<a name="process-vpc-vpc"></a>

Saat mengonfigurasi VPC pribadi untuk pekerjaan pemrosesan AI SageMaker Anda, gunakan panduan berikut. Untuk informasi tentang cara menyiapkan VPC, lihat [Bekerja dengan VPCs dan Subnet](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) di Panduan Pengguna Amazon *VPC*.

**Topics**
+ [Pastikan Subnet Memiliki Alamat IP yang Cukup](#process-vpc-ip)
+ [Buat Endpoint VPC Amazon S3](#process-vpc-s3)
+ [Gunakan Kebijakan Endpoint Kustom untuk Membatasi Akses ke S3](#process-vpc-policy)
+ [Konfigurasikan Tabel Rute](#process-vpc-route-table)
+ [Konfigurasikan Grup Keamanan VPC](#process-vpc-groups)
+ [Connect ke Sumber Daya di Luar VPC Anda](#process-vpc-nat)
+ [Pantau Pekerjaan SageMaker Pemrosesan Amazon dengan CloudWatch Log dan Metrik](#process-vpc-cloudwatch)

### Pastikan Subnet Memiliki Alamat IP yang Cukup
<a name="process-vpc-ip"></a>

Subnet VPC Anda harus memiliki setidaknya dua alamat IP pribadi untuk setiap instance dalam pekerjaan pemrosesan. Untuk informasi selengkapnya, lihat [Ukuran VPC dan Subnet di Panduan Pengguna IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) Amazon *VPC*.

### Buat Endpoint VPC Amazon S3
<a name="process-vpc-s3"></a>

Jika Anda mengonfigurasi VPC Anda sehingga wadah pemrosesan tidak memiliki akses ke internet, mereka tidak dapat terhubung ke bucket Amazon S3 yang berisi data Anda kecuali Anda membuat titik akhir VPC yang memungkinkan akses. Dengan membuat titik akhir VPC, Anda mengizinkan wadah pemrosesan mengakses bucket tempat Anda menyimpan data. Kami menyarankan Anda juga membuat kebijakan khusus yang hanya mengizinkan permintaan dari VPC pribadi Anda untuk mengakses bucket S3 Anda. Untuk informasi selengkapnya, lihat [Titik Akhir untuk Amazon](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html) S3.

**Untuk membuat titik akhir VPC S3:**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. **Di panel navigasi, pilih **Endpoints, lalu pilih Create Endpoint****

1. Untuk **Nama Layanan**, pilih **com.amazonaws. *region*.s3**, di *region* mana nama wilayah tempat VPC Anda berada.

1. Untuk **VPC**, pilih VPC yang ingin Anda gunakan untuk titik akhir ini.

1. Untuk **Konfigurasi tabel rute**, pilih tabel rute yang akan digunakan oleh titik akhir. Layanan VPC secara otomatis menambahkan rute ke setiap tabel rute yang Anda pilih yang mengarahkan lalu lintas S3 ke titik akhir baru.

1. Untuk **Kebijakan**, pilih **Akses Penuh** untuk mengizinkan akses penuh ke layanan S3 oleh pengguna atau layanan apa pun dalam VPC. Pilih **Custom** untuk membatasi akses lebih lanjut. Untuk informasi, lihat [Gunakan Kebijakan Endpoint Kustom untuk Membatasi Akses ke S3](#process-vpc-policy).

### Gunakan Kebijakan Endpoint Kustom untuk Membatasi Akses ke S3
<a name="process-vpc-policy"></a>

Kebijakan endpoint default memungkinkan akses penuh ke S3 untuk setiap pengguna atau layanan di VPC Anda. Untuk lebih membatasi akses ke S3, buat kebijakan titik akhir kustom. Untuk informasi selengkapnya, lihat [Menggunakan Kebijakan Titik Akhir untuk Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) S3. Anda juga dapat menggunakan kebijakan bucket untuk membatasi akses ke bucket S3 hanya untuk lalu lintas yang berasal dari VPC Amazon Anda. Untuk selengkapnya, lihat [Menggunakan Kebijakan Bucket Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).

#### Batasi Instalasi Package pada Container Processing
<a name="process-vpc-policy-repos"></a>

Kebijakan endpoint default memungkinkan pengguna untuk menginstal paket dari repositori Amazon Linux dan Amazon Linux 2 pada wadah pemrosesan. Jika Anda tidak ingin pengguna menginstal paket dari repositori itu, buat kebijakan endpoint khusus yang secara eksplisit menolak akses ke repositori Amazon Linux dan Amazon Linux 2. Berikut ini adalah contoh kebijakan yang menolak akses ke repositori ini:

```
{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}
```

### Konfigurasikan Tabel Rute
<a name="process-vpc-route-table"></a>

Gunakan pengaturan DNS default untuk tabel rute titik akhir Anda, sehingga Amazon URLs S3 standar (misalnya`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`,) teratasi. Jika Anda tidak menggunakan pengaturan DNS default, pastikan URLs bahwa yang Anda gunakan untuk menentukan lokasi data dalam pekerjaan pemrosesan Anda diselesaikan dengan mengonfigurasi tabel rute titik akhir. Untuk informasi tentang tabel rute titik akhir VPC, lihat [Perutean untuk Titik Akhir Gateway di Panduan Pengguna](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) *Amazon* VPC.

### Konfigurasikan Grup Keamanan VPC
<a name="process-vpc-groups"></a>

Dalam pemrosesan terdistribusi, Anda harus mengizinkan komunikasi antara wadah yang berbeda dalam pekerjaan pemrosesan yang sama. Untuk melakukan itu, konfigurasikan aturan untuk grup keamanan Anda yang memungkinkan koneksi masuk antara anggota grup keamanan yang sama. Untuk informasi selengkapnya, lihat [Aturan Grup Keamanan](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).

### Connect ke Sumber Daya di Luar VPC Anda
<a name="process-vpc-nat"></a>

Jika Anda menghubungkan model Anda ke sumber daya di luar VPC tempat mereka berjalan, lakukan salah satu hal berikut:
+ **Connect to other AWS services** — Jika model Anda memerlukan akses ke AWS layanan yang mendukung antarmuka Amazon VPC endpoint, buat endpoint untuk terhubung ke layanan tersebut. Untuk daftar layanan yang mendukung titik akhir antarmuka, lihat [AWS layanan yang terintegrasi dengan AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html) dalam Panduan AWS PrivateLink Pengguna. Untuk informasi tentang membuat titik akhir VPC antarmuka, lihat [Mengakses AWS layanan menggunakan titik akhir VPC antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) di Panduan Pengguna. AWS PrivateLink 
+ **Connect to resources through the internet** — Jika model Anda berjalan pada instance di VPC Amazon yang tidak memiliki subnet dengan akses ke internet, model tidak akan memiliki akses ke sumber daya di internet. Jika model Anda memerlukan akses ke AWS layanan yang tidak mendukung titik akhir VPC antarmuka, atau ke sumber daya di luar AWS, pastikan Anda menjalankan model Anda di subnet pribadi yang memiliki akses ke internet menggunakan gateway NAT publik di subnet publik. Setelah model Anda berjalan di subnet pribadi, konfigurasikan grup keamanan Anda dan daftar kontrol akses jaringan (NACLs) untuk memungkinkan koneksi keluar dari subnet pribadi ke gateway NAT publik di subnet publik. Untuk selengkapnya, lihat [gateway NAT di Panduan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html ) Pengguna Amazon VPC.

### Pantau Pekerjaan SageMaker Pemrosesan Amazon dengan CloudWatch Log dan Metrik
<a name="process-vpc-cloudwatch"></a>

Amazon SageMaker AI menyediakan CloudWatch log dan metrik Amazon untuk memantau pekerjaan pelatihan. CloudWatch menyediakan CPU, GPU, memori, memori GPU, dan metrik disk, dan pencatatan peristiwa. Untuk informasi selengkapnya tentang memantau pekerjaan SageMaker pemrosesan Amazon, lihat [Metrik Amazon SageMaker AI di Amazon CloudWatch](monitoring-cloudwatch.md) dan[SageMaker Metrik pekerjaan AI](monitoring-cloudwatch.md#cloudwatch-metrics-jobs).