Esecuzione di container di addestramento e inferenza in modalità Internet-Free - Amazon SageMaker AI
Isolamento di rete

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esecuzione di container di addestramento e inferenza in modalità Internet-Free

SageMaker La formazione sull'intelligenza artificiale e i contenitori di inferenza implementati sono abilitati a Internet per impostazione predefinita. Questo consente ai container di accedere ai servizi esterni e alle risorse sulla rete Internet pubblica come parte dei carichi di lavoro di addestramento e inferenza. Tuttavia, questo potrebbe fornire anche un'altra via all'accesso non autorizzato ai dati. Ad esempio, un utente malintenzionato o il codice installato accidentalmente nel container (sotto forma di una libreria di codice sorgente disponibile pubblicamente) possono accedere ai dati e trasferirli a un host remoto.

Se utilizzi un Amazon VPC specificando un valore per il parametro VpcConfig quando chiami CreateTrainingJob, CreateHyperParameterTuningJob o CreateModel, puoi proteggere i dati e le risorse gestendo i gruppi di sicurezza e limitando l'accesso a Internet dal tuo VPC. Tuttavia, questo comporta una configurazione di rete aggiuntiva, con conseguenti rischi di errore. Se non desideri che l' SageMaker intelligenza artificiale fornisca l'accesso alla rete esterna ai tuoi contenitori di formazione o inferenza, puoi abilitare l'isolamento della rete.

Isolamento di rete

Puoi abilitare l'isolamento di rete quando crei il processo di addestramento o il modello impostando il valore del parametro EnableNetworkIsolation su True quando chiami CreateTrainingJob, CreateHyperParameterTuningJob o CreateModel.

Nota

L'isolamento di rete è richiesto per l'esecuzione di processi di addestramento e modelli utilizzando le risorse da Marketplace AWS. Per una maggiore sicurezza, Marketplace AWS le immagini vengono eseguite all'interno di un Amazon VPC. Hanno accesso solo ai dati all’interno dei loro file system locali.

Quando abiliti l'isolamento della rete, i contenitori di addestramento e inferenza non possono effettuare chiamate di rete in uscita verso nessun servizio, incluso Amazon S3. Nessuna AWS credenziale viene resa disponibile per l'ambiente di runtime del contenitore. Per i lavori di formazione con più istanze, il traffico di rete in entrata e in uscita è limitato alla comunicazione tra i peer del contenitore di formazione.

SageMaker L'intelligenza artificiale gestisce ancora tutte le operazioni di download e upload necessarie di Amazon S3 utilizzando il tuo ruolo di esecuzione SageMaker AI. Ciò avviene indipendentemente dai contenitori di addestramento e inferenza, garantendo che i dati di addestramento e gli artefatti del modello siano ancora accessibili, pur mantenendo l'isolamento del contenitore.

I seguenti contenitori SageMaker AI gestiti non supportano l'isolamento della rete perché richiedono l'accesso ad Amazon S3:

  • Chainer

  • SageMaker Apprendimento rinforzato dall'IA

Isolamento di rete con un VPC

L'isolamento di rete può essere utilizzato in combinazione con un VPC. In questo scenario, le operazioni di scaricamento e caricamento dei dati del cliente e degli artefatti del modello vengono instradate tramite la sottorete VPC. Tuttavia, i container di addestramento e inferenza stessi continuano a essere isolati dalla rete e non dispongono dell'accesso ad alcuna risorsa all'interno del VPC o su Internet.