As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Conecte-se à SageMaker IA em sua VPC
<a name="interface-vpc-endpoint"></a>

Você pode se conectar diretamente à SageMaker API ou ao Amazon SageMaker Runtime por meio de um [endpoint de interface](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) em sua nuvem privada virtual (VPC) em vez de se conectar pela Internet. Quando você usa um endpoint de interface VPC, a comunicação entre sua VPC e a API de SageMaker IA ou o Runtime é conduzida de forma completa e segura em uma rede. AWS 

## Conecte-se à SageMaker IA por meio de um endpoint de interface VPC
<a name="interface-vpc-endpoint-sagemaker-connect"></a>

A SageMaker API e o SageMaker AI Runtime oferecem suporte a endpoints de interface da [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) que são alimentados por. [AWS PrivateLink](https://aws.amazon.com/privatelink) Cada endpoint da VCP é representado por uma ou mais [interfaces de rede elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) com endereços IP privados em suas sub-redes da VPC. Por exemplo, um aplicativo dentro da sua VPC usa AWS PrivateLink para se comunicar com o SageMaker AI Runtime. SageMaker O AI Runtime, por sua vez, se comunica com o endpoint de SageMaker IA. AWS PrivateLink O uso permite que você invoque seu endpoint de SageMaker IA de dentro da sua VPC, conforme mostrado no diagrama a seguir.

![\[\]](http://docs.aws.amazon.com/pt_br/sagemaker/latest/dg/images/security-vpc-SM.png)


O endpoint da interface VPC conecta sua VPC diretamente à SageMaker API ou ao SageMaker AI Runtime AWS PrivateLink sem usar um gateway de internet, dispositivo NAT, conexão VPN ou conexão. Direct Connect As instâncias em sua VPC não precisam se conectar à Internet pública para se comunicar com a SageMaker API ou o SageMaker AI Runtime.

Você pode criar um endpoint de AWS PrivateLink interface para se conectar ao SageMaker AI ou ao SageMaker AI Runtime usando o Console de gerenciamento da AWS ou AWS Command Line Interface (AWS CLI). Para obter instruções, consulte [Acessar um AWS serviço usando uma interface VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint) endpoint.

Se você não habilitou um nome de host privado do Sistema de Nomes de Domínio (DNS) para seu VPC endpoint, *depois de criar um VPC endpoint, especifique o URL do endpoint* de internet para a API ou o AI Runtime. SageMaker SageMaker Veja a seguir um exemplo de código usando AWS CLI comandos para especificar o `endpoint-url` parâmetro.

```
aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com  \
    --endpoint-name Endpoint_Name \
    --body "Endpoint_Body" \
    --content-type "Content_Type" \
            Output_File
```

Se você habilitar nomes de host DNS privados para seu VPC endpoint, não precisará especificar o URL do endpoint porque é o nome de host padrão (https://api.sagemaker). *Region*.amazon.com) resolve para seu VPC endpoint. Da mesma forma, o nome de host DNS padrão do SageMaker AI Runtime (https://runtime.sagemaker). *Region*.amazonaws.com) também se resolve para seu VPC endpoint.

[A SageMaker API e o SageMaker AI Runtime oferecem suporte a endpoints de VPC em todos os lugares onde o Amazon [VPC Regiões da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) e o AI estão disponíveis. SageMaker ](https://docs.aws.amazon.com/general/latest/gr/rande.html#sagemaker_region) SageMaker A IA oferece suporte para fazer chamadas para tudo [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations.html)dentro da sua VPC. Se você usar o `AuthorizedUrl` do comando [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html), seu tráfego passará pela internet pública. Você não pode usar apenas um endpoint de VPC para acessar o URL pré-assinado, a solicitação deve passar pelo gateway da internet.

 Por padrão, seus usuários podem compartilhar o URL pré-assinado com pessoas fora da sua rede corporativa. Para maior segurança, você deve adicionar permissões do IAM para restringir que o URL só possa ser usado na sua rede. Para obter informações sobre as permissões do IAM, consulte [Como AWS PrivateLink funciona com o IAM](https://docs.aws.amazon.com/vpc/latest/privatelink/security_iam_service-with-iam.html).

**nota**  
Ao configurar um endpoint de interface VPC para o serviço SageMaker AI Runtime (https://runtime.sagemaker). `Region`.amazonaws.com), você deve garantir que o endpoint da interface VPC esteja ativado na zona de disponibilidade do seu cliente para que a resolução de DNS privado funcione. Caso contrário, você poderá ver falhas de DNS ao tentar resolver o URL.

Para saber mais sobre isso AWS PrivateLink, consulte a [AWS PrivateLink documentação](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink). Consulte os [Preços do AWS PrivateLink](https://aws.amazon.com/privatelink/pricing/) para conhecer o preço dos endpoints da VPC. Para saber mais sobre VPC e endpoints, consulte [Amazon VPC](https://aws.amazon.com/vpc/). Para obter informações sobre como usar AWS Identity and Access Management políticas baseadas em identidade para restringir o acesso à SageMaker API e ao SageMaker AI Runtime, consulte. [Controle o acesso à API de SageMaker IA usando políticas baseadas em identidade](security_iam_id-based-policy-examples.md#api-access-policy)

## Usando SageMaker treinamento e hospedagem com recursos dentro de sua VPC
<a name="use-resources-vpc"></a>

SageMaker A IA usa sua função de execução para baixar e carregar informações de um bucket do Amazon S3 e do Amazon Elastic Container Registry (Amazon ECR), isoladamente do seu contêiner de treinamento ou inferência. Se você tiver recursos localizados dentro da sua VPC, ainda poderá conceder acesso de SageMaker IA a esses recursos. As seções a seguir explicam como disponibilizar seus recursos para a SageMaker IA com ou sem isolamento de rede.

### Sem o isolamento de rede ativado
<a name="use-resources-vpc-flat"></a>

Se você não definiu o isolamento de rede em seu trabalho ou modelo de treinamento, a SageMaker IA pode acessar recursos usando um dos métodos a seguir.
+ SageMaker contêineres de treinamento e inferência implantados podem acessar a Internet por padrão. SageMaker Os contêineres de IA podem acessar serviços e recursos externos na Internet pública como parte de suas cargas de trabalho de treinamento e inferência. SageMaker Os contêineres de IA não conseguem acessar recursos dentro da sua VPC sem uma configuração de VPC, conforme mostrado na ilustração a seguir.  
![\[\]](http://docs.aws.amazon.com/pt_br/sagemaker/latest/dg/images/security-vpc-no-config.png)
+ Use uma configuração de VPC para se comunicar com os recursos dentro da sua VPC por meio de uma interface de rede elástica (ENI). A comunicação entre o contêiner e os recursos em sua VPC ocorre com segurança em sua rede de VPC, conforme mostrado na ilustração a seguir. Nesse caso, você gerencia o acesso à rede aos seus recursos de VPC e à Internet.  
![\[\]](http://docs.aws.amazon.com/pt_br/sagemaker/latest/dg/images/security-vpc-config.png)

### Com isolamento de rede
<a name="use-resources-vpc-isolated"></a>

Se você empregar isolamento de rede, o contêiner de SageMaker IA não poderá se comunicar com recursos dentro da sua VPC nem fazer nenhuma chamada de rede, conforme mostrado na ilustração a seguir. Se você fornecer uma configuração de VPC, as operações de download e upload serão executadas por meio de sua VPC. Para obter mais informações sobre hospedagem e treinamento com isolamento de rede ao usar uma VPC, consulte [Isolamento de rede](mkt-algo-model-internet-free.md#mkt-algo-model-internet-free-isolation).

![\[\]](http://docs.aws.amazon.com/pt_br/sagemaker/latest/dg/images/security-network-isolation-no-config.png)


## Crie uma política de VPC Endpoint para IA SageMaker
<a name="api-private-link-policy"></a>

Você pode criar uma política para endpoints Amazon VPC para SageMaker IA para especificar o seguinte:
+ A entidade principal que pode realizar ações.
+ As ações que podem ser realizadas.
+ Os recursos aos quais as ações podem ser aplicadas.

Para obter mais informações, consulte [Controlar o acesso a serviços com endpoint da VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) no *Manual do usuário da Amazon VPC*.

**nota**  
As políticas de endpoint de VPC não são compatíveis com endpoints de tempo de execução de SageMaker IA do Federal Information Processing Standard (FIPS) para. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html)

O exemplo a seguir da política de VPC endpoint especifica que todos os usuários que têm acesso ao endpoint da interface VPC têm permissão para invocar o endpoint hospedado por IA chamado. SageMaker `myEndpoint`

```
{
  "Statement": [
      {
          "Action": "sagemaker:InvokeEndpoint",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
          "Principal": "*"
      }
  ]
}
```

Neste exemplo, as seguintes opções são negadas:
+ Outras ações SageMaker da API, como `sagemaker:CreateEndpoint` `sagemaker:CreateTrainingJob` e.
+ Invocando endpoints hospedados por SageMaker IA que não sejam. `myEndpoint`

**nota**  
Neste exemplo, os usuários ainda podem realizar outras ações de SageMaker API de fora da VPC. Para obter informações sobre como restringir chamadas de API àquelas da VPC, consulte [Controle o acesso à API de SageMaker IA usando políticas baseadas em identidade](security_iam_id-based-policy-examples.md#api-access-policy).

## Crie uma política de VPC Endpoint para a Amazon Feature Store SageMaker
<a name="api-private-link-feature-store"></a>

 Para criar um VPC Endpoint para a Amazon SageMaker Feature Store, use o seguinte modelo de endpoint, substituindo seu e: *VPC\$1Endpoint\$1ID.api* *Region*

`VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com`



## Conectar sua rede privada à sua VPC
<a name="notebook-private-link-vpn"></a>

Para chamar a SageMaker API e o SageMaker AI Runtime por meio de sua VPC, você precisa se conectar a partir de uma instância que esteja dentro da VPC ou conectar sua rede privada à sua VPC usando um () ou. AWS Virtual Private Network Site-to-Site VPN Direct Connect Para obter informações sobre isso Site-to-Site VPN, consulte [Conexões VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) no *Guia do usuário da Amazon Virtual Private Cloud*. Para obter informações sobre isso AWS Direct Connect, consulte [Criar uma conexão](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) no *Guia do usuário do AWS Direct Connect*.