Dar aos trabalhos do Inference Recommender acesso aos recursos em sua Amazon VPC - Amazon SageMaker AI
Certifique-se de que as sub-redes tenham endereços IP suficientesCriar um endpoint de VPC do Amazon S3Adicionar permissões para trabalhos do Inference Recommender em execução em uma Amazon VPC para políticas personalizadas do IAMConfigurar tabelas de rotasConfiguração do grupo de segurança da VPC

Dar aos trabalhos do Inference Recommender acesso aos recursos em sua Amazon VPC

nota

O Inference Recommender exige que você registre seu modelo no Model Registry. Observe que o Model Registry não permite que os artefatos do seu modelo ou a imagem do Amazon ECR sejam restritos à VPC.

O Inference Recommender também exige que seu objeto do Amazon S3 de exemplo de carga não seja restrito à VPC. Para trabalhos de recomendação de inferência, você não pode criar uma política personalizada que permita apenas solicitações da sua VPC privada para acessar seus buckets do Amazon S3.

Para especificar sub-redes e grupos de segurança na sua VPC privada, use o parâmetro de solicitação RecommendationJobVpcConfig da API CreateInferenceRecommendationsJob ou especifique suas sub-redes e grupos de segurança ao criar um trabalho de recomendação no console do SageMaker AI.

O Inference Recommender usa essas informações para criar endpoints. Ao fornecer endpoints, o SageMaker AI cria interfaces de rede e as anexa aos endpoints. As interfaces de rede fornecem aos seus endpoints uma conexão de rede com sua VPC. Veja a seguir um exemplo do parâmetro VpcConfig incluído em uma chamada para CreateInferenceRecommendationsJob.

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }

Consulte os tópicos a seguir para obter mais informações sobre como configurar sua Amazon VPC para uso com trabalhos do Inference Recommender.

Certifique-se de que as sub-redes tenham endereços IP suficientes

As sub-redes da VPC devem ter pelo menos dois endereços IP privados para cada instância em um trabalho de recomendação de inferência. Para obter mais informações sobre sub-redes e endereços IP privados, consulte Como a Amazon VPC funciona no Guia do usuário da Amazon VPC.

Criar um endpoint de VPC do Amazon S3

Se você configurar sua VPC para bloquear o acesso à Internet, o Inference Recommender não poderá se conectar aos buckets do Amazon S3 que contêm seus modelos, a menos que você crie um endpoint de VPC que permita o acesso. Ao criar um endpoint da VPC, você permite que seus trabalhos de recomendação de inferência do SageMaker AI acessem os buckets em que você armazena seus dados e artefatos de modelo.

Para criar um endpoint de VPC do Amazon S3, use o seguinte procedimento:

  1. Abra o console da Amazon VPC.

  2. No painel de navegação, selecione Endpoints e Criar endpoint.

  3. Em Nome do serviço, escolha com.amazonaws.region.s3, em que region é o nome da região em que a VPC reside.

  4. Escolha o tipo de gateway.

  5. Em VPC, escolha a VPC que você deseja usar para esse endpoint.

  6. Para Configurar tabelas de rotas, selecione as tabelas de rotas a serem usadas pelo endpoint. O serviço de VPC adiciona automaticamente uma rota a cada tabela de rotas selecionada que aponta qualquer tráfego do Amazon S3 para o novo endpoint.

  7. Em Política, escolha Acesso total para permitir acesso total ao serviço do Amazon S3 por qualquer usuário ou serviço dentro da VPC.

Adicionar permissões para trabalhos do Inference Recommender em execução em uma Amazon VPC para políticas personalizadas do IAM

A política gerenciada AmazonSageMakerFullAccess inclui as permissões que você precisa para usar modelos configurados para acesso à Amazon VPC com um endpoint. Essas permissões permitem que o Inference Recommender crie uma interface de rede elástica e a anexe ao trabalho de recomendação de inferência executado em uma Amazon VPC. Se usar sua própria política do IAM, você deverá adicionar as seguintes permissões a essa política para usar modelos configurados para acesso à Amazon VPC:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}

Configurar tabelas de rotas

Use as definições padrão de DNS da sua tabela de rotas de endpoint para que os URLs padrão do Amazon S3 (por exemplo: http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) resolvam. Se você não usar essas definições, verifique se os outros URLs que você usa para especificar os locais dos dados dos seus trabalhos de recomendação de inferência conseguem resolver por meio da configuração de tabelas de rotas de endpoint. Para obter informações sobre as tabelas de rotas de endpoints da VPC, consulte Roteamento para endpoints do gateway no Guia do usuário da Amazon VPC.

Configuração do grupo de segurança da VPC

Em seu grupo de segurança para o trabalho de recomendação de inferência, você deve permitir a comunicação externa com seus endpoints da VPC do Amazon S3 e os intervalos CIDR da sub-rede usados para o trabalho de recomendação de inferência. Para obter mais informações, consulte as Regras de grupos de segurança e Controlar o acesso a serviços com endpoints da Amazon VPC no Guia do usuário da Amazon VPC.