本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 讓 SageMaker AI 可以存取 Amazon VPC 中的資源
SageMaker AI 預設會在 Amazon Virtual Private Cloud 中執行下列任務類型。
+ 處理
+ 培訓
+ 模型託管
+ 批次轉換
+ Amazon SageMaker Clarify
+ SageMaker AI 編譯
不過,這些任務的容器會透過網際網路存取 AWS 資源,例如存放訓練資料和模型成品的 Amazon Simple Storage Service (Amazon S3) 儲存貯體。
為了控制對您的資料與任務容器的存取,建議您建立一個私有 VPC,並設定為無法經由網際網路存取。如需 VPC 在建立和設定方面的資訊,請參閱 *Amazon VPC 使用者指南*中的 [Amazon VPC 入門](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/getting-started-ipv4.html)的相關文章。VPC 可設為不連線到網際網路,因此使用您的 VPC 有助於保護您的任務容器和資料。還可使用 VPC 流量日誌,以 VPC 監控所有傳出傳入任務容器的網路流量。如需詳細資訊,請參閱 *Amazon VPC 使用者指南*中的 [VPC 流量日誌](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html)。
在建立任務時,可指定子網路和安全群組,便能進行您的私有 VPC 組態。當您指定子網路和安全群組時,SageMaker AI 會在其中一個子網路內建立與安全群組建立關聯的*彈性網路介面*。網路介面可讓您的任務連線至您的 VPC 內的資源。如需有關網路介面的資訊,請參閱 *Amazon VPC 使用者指南*中的[彈性網路介面](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ElasticNetworkInterfaces.html)。
您可以在 [CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html) 操作或 [CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) 操作的 `VpcConfig` 物件內指定 VPC 組態。建立訓練任務時指定 VPC 組態可讓您的模型存取 VPC 內的資源。
僅指定 VPC 組態不會變更調用路徑。若要連線到 VPC 內的 Amazon SageMaker AI,請建立 VPC 端點並調用它。如需詳細資訊,請參閱[在您的 VPC 中連線到 SageMaker AI](interface-vpc-endpoint.md)。
**Topics**
+ [讓 SageMaker AI 處理任務可以存取 Amazon VPC 中的資源](process-vpc.md)
+ [讓 SageMaker AI 訓練任務可以存取 Amazon VPC 中的資源](train-vpc.md)
+ [讓 SageMaker AI 託管的端點可以存取 Amazon VPC 中的資源](host-vpc.md)
+ [允許批次轉換任務存取 Amazon VPC 中的資源](batch-vpc.md)
+ [允許 Amazon SageMaker Clarify 任務存取您 Amazon VPC 中的資源](clarify-vpc.md)
+ [讓 SageMaker AI 編譯任務可以存取 Amazon VPC 中的資源](neo-vpc.md)
+ [允許 Inference Recommender 任務存取您的 Amazon VPC 中的資源](inference-recommender-vpc-access.md)
# 讓 SageMaker AI 處理任務可以存取 Amazon VPC 中的資源
若要控制對資料和處理任務的存取,請使用私有子網路建立 Amazon VPC。如需 VPC 在建立和設定方面的資訊,請參閱 [Amazon VPC 使用者指南](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-getting-started.html)中 *Amazon VPC 入門*的相關文章。
您可以使用 VPC 流量日誌,監控所有傳出傳入處理容器的網路流量。如需詳細資訊,請參閱 *Amazon VPC 使用者指南*中的 [VPC 流量日誌](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html)。
本文件說明如何為處理任務新增 Amazon VPC 組態。
## 設定處理任務以存取 Amazon VPC
您可以在 VPC 內指定子網路和安全群組 ID 來設定處理任務。您不需要為處理容器指定子網路。Amazon SageMaker AI 會自動從 Amazon ECR 提取處理容器。如需此處理容器的更多相關資訊,請參閱[使用 SageMaker Processing 的資料轉換工作負載](processing-job.md)。
建立處理任務時,您可以使用 SageMaker AI 主控台或 API,在您的 VPC 中指定子網路和安全群組。
若要使用 API,請在 [CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html) 作業的 `NetworkConfig.VpcConfig` 參數中指定子網路和安全群組 ID。SageMaker AI 會使用子網路和安全群組詳細資料來建立網路介面,並將其連接至處理容器。網路介面在您的 VPC 內提供具有網路連線的處理容器。這可讓處理任務連線至您的 VPC 中存在的資源。
以下為您包含在對 `CreateProcessingJob` 作業的呼叫內的 `VpcConfig` 參數的範例:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## 為 SageMaker AI Processing 設定您的私有 VPC
在為您的 SageMaker AI 處理任務設定私有 VPC 時,請使用以下指導方針。如需如何設定 VPC 的相關資訊,請參閱 *Amazon VPC 使用者指南*中的[使用 VPC 和子網路](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html)的相關文章。
**Topics**
+ [確保子網路擁有充足的 IP 地址](#process-vpc-ip)
+ [建立 Amazon S3 VPC 端點](#process-vpc-s3)
+ [使用自訂端點政策來限制存取 S3](#process-vpc-policy)
+ [設定路由表](#process-vpc-route-table)
+ [設定 VPC 安全群組](#process-vpc-groups)
+ [連線至您的 VPC 外部的資源](#process-vpc-nat)
+ [使用 CloudWatch Logs 和指標監控 Amazon SageMaker Processing 任務](#process-vpc-cloudwatch)
### 確保子網路擁有充足的 IP 地址
您的 VPC 子網路應至少具有兩個私有 IP 地址,以供處理任務中的各個執行個體使用。如需詳細資訊,請參閱 *Amazon VPC 使用者指南*中的[IPv4 的 VPC 與子網路的大小調整](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4)的相關文章。
### 建立 Amazon S3 VPC 端點
如果您將您的 VPC 設定為讓處理容器無法存取網際網路,除非您建立的 VPC 端點允許存取,否則也會無法連線至包含資料的 Amazon S3 儲存貯體。建立 VPC 端點可讓您的處理容器存取您存放資料的儲存貯體。建議也建立一個自訂政策,只允許來自您私有 VPC 的請求存取您的 S3 儲存貯體。如需詳細資訊,請參閱 [Amazon S3 的端點](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html)。
**建立 S3 VPC 端點:**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**端點**,然後選擇**建立端點**
1. 對於**服務名稱)**,選擇 **com.amazonaws.*region*.s3**,其中 *region* 是您的 VPC 所在區域的名稱。
1. 對於 **VPC**,選擇您要用於此端點的 VPC。
1. 針對**設定路由表**,選取要供端點使用的路由表。每個 VPC 服務會自動將路由新增到您選擇的路由表,以便將任何 S3 流量導向新的端點。
1. 對於**政策**,選擇**完整存取**,以允許 VPC 內的任何使用者或服務完整存取 S3 服務。選擇**自訂**,以進一步限制存取權。如需相關資訊,請參閱[使用自訂端點政策來限制存取 S3](#process-vpc-policy)。
### 使用自訂端點政策來限制存取 S3
預設端點政策可讓您的 VPC 中的任何使用者或服務完整存取 S3。若要進一步限制存取 S3,請建立自訂端點政策。如需詳細資訊,請參[ Amazon S3 使用端點政策](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3)。您也可以使用儲存貯體政策,以限制只有來自 Amazon VPC 流量才能存取您的 S3 儲存貯體。如需資訊,請參閱[使用 Amazon S3 儲存貯體政策](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies)。
#### 限制在處理容器上安裝套件
預設端點政策允許使用者在處理容器上安裝來自 Amazon Linux 和 Amazon Linux 2 儲存庫的套件。如果不希望使用者從該儲存庫安裝套件,請建立自訂端點政策,明確拒絕至 Amazon Linux 和 Amazon Linux 2 儲存庫的存取。以下為拒絕存取上述儲存庫的政策範例:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### 設定路由表
請為端點路由表使用預設的 DNS 設定,如此才能解析標準 Amazon S3 URL (例如 `http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`)。若未使用預設的 DNS 設定,請將端點路由表設定妥當,確保您用來指定處理任務的資料所在位置的 URL 可解析。如需 VPC 端點路由表的相關資訊,請參閱 *Amazon VPC 使用者指南*中的[閘道端點路由](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing)的相關文章。
### 設定 VPC 安全群組
在分散式處理中,必須允許同一處理任務內不同容器之間的通訊。若要執行此操作,請為安全群組設定規則,允許相同安全群組成員彼此間的傳入連線。如需詳細資訊,請參閱[安全群組規則](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules)。
### 連線至您的 VPC 外部的資源
如果您要將模型連接到模型執行的 VPC 以外的資源,請執行下列其中一個動作:
+ **連線至其他 AWS 服務** – 如果您的模型需要存取支援界面 Amazon VPC 端點 AWS 的服務,請建立端點以連線至該服務。如需支援介面端點的服務清單,請參閱 AWS PrivateLink 《 使用者指南》中的[AWS 與 整合的 服務 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html)。如需有關建立介面 VPC 端點的資訊,請參閱 AWS PrivateLink 《 使用者指南》中的[使用介面 VPC 端點存取 AWS 服務](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。
+ **透過網際網路連線到資源** - 如果您的模型在沒有可存取網際網路的 Amazon VPC 中的執行個體子網路上執行,則模型將無法存取網際網路上的資源。如果您的模型需要存取不支援介面 VPC 端點的 AWS 服務,或存取 外部的資源 AWS,請確定您在可使用公有子網路中公有 NAT 閘道存取網際網路的私有子網路中執行模型。在私有子網路中執行模型之後,請設定您的安全群組和網路存取控制清單 (NACL),以允許從私有子網路到公用子網路中公用 NAT 閘道的輸出連線。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的 [NAT 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html )。
### 使用 CloudWatch Logs 和指標監控 Amazon SageMaker Processing 任務
Amazon SageMaker AI 提供 Amazon CloudWatch 日誌和指標,以監控訓練任務。CloudWatch 提供 CPU、GPU、記憶體、GPU 記憶體和磁碟指標,以及事件記錄。如需監控 Amazon SageMaker 執行任務的更多相關資訊,請參閱[Amazon CloudWatch 中的 Amazon SageMaker AI 指標](monitoring-cloudwatch.md)和[SageMaker AI 任務指標](monitoring-cloudwatch.md#cloudwatch-metrics-jobs)。
# 讓 SageMaker AI 訓練任務可以存取 Amazon VPC 中的資源
**注意**
對於訓練任務,您只能使用執行個體在共用硬體執行所在的預設租用 VPC 來設定子網路。如需 VPC 租用屬性的詳細資訊,請參閱[專用執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)。
## 設定訓練任務以存取 Amazon VPC
若要控制對訓練任務的存取,請在具有無法存取網際網路的私有子網路的 Amazon VPC 中執行訓練任務。
您可以在 VPC 內指定子網路和安全群組 ID 來設定訓練任務。您不需要為訓練任務容器指定子網路。Amazon SageMaker AI 會自動從 Amazon ECR 提取訓練容器。
建立訓練任務時,您可以使用 Amazon SageMaker AI 主控台或 API,在您的 VPC 中指定子網路和安全群組。
若要使用 API,請在 [CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) 操作的 `VpcConfig` 參數中指定子網路和安全群組 ID。SageMaker AI 會使用子網路和安全群組詳細資料來建立網路介面,並將其連接至訓練容器。網路介面在您的 VPC 內提供具有網路連線的訓練容器。這可讓訓練任務連線至您的 VPC 中存在的資源。
以下為您包含在對 `CreateTrainingJob` 作業的呼叫內的 `VpcConfig` 參數的範例:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## 為 SageMaker AI 訓練設定私有 VPC
在為您的 SageMaker AI 訓練任務設定私有 VPC 時,請使用以下指導方針。如需如何設定 VPC 的相關資訊,請參閱 *Amazon VPC 使用者指南*中的[使用 VPC 和子網路](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html)的相關文章。
**Topics**
+ [確保子網路擁有充足的 IP 地址](#train-vpc-ip)
+ [建立 Amazon S3 VPC 端點](#train-vpc-s3)
+ [使用自訂端點政策來限制存取 S3](#train-vpc-policy)
+ [設定路由表](#train-vpc-route-table)
+ [設定 VPC 安全群組](#train-vpc-groups)
+ [連線至您的 VPC 外部的資源](#train-vpc-nat)
+ [使用 CloudWatch Logs 和指標監控 Amazon SageMaker 訓練任務](#train-vpc-cloudwatch)
### 確保子網路擁有充足的 IP 地址
*不使用* Elastic Fabric Adapter (EFA) 的訓練執行個體至少應具有 2 個私有 IP 地址。使用 EFA 的訓練執行個體至少應具有 5 個私有 IP 地址。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的[多個 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html)。
您的 VPC 子網路應至少具有兩個私有 IP 地址,以供訓練任務中的各個執行個體使用。如需詳細資訊,請參閱 *Amazon VPC 使用者指南*中的[IPv4 的 VPC 與子網路的大小調整](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4)的相關文章。
### 建立 Amazon S3 VPC 端點
若要對您的 VPC 進行設定以讓訓練容器無法存取網際網路,除非您建立的 VPC 端點允許存取,否則也會無法連線至含有訓練資料的 Amazon S3 儲存貯體。建立 VPC 端點可讓您的訓練容器存取您存放資料和模型成品的儲存貯體。建議也建立一個自訂政策,只允許來自您私有 VPC 的請求存取您的 S3 儲存貯體。如需詳細資訊,請參閱 [Amazon S3 的端點](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html)。
**建立 S3 VPC 端點:**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**端點**,然後選擇**建立端點**
1. 對於**服務名稱**,搜尋 **com.amazonaws.*region*.s3**,其中 *region* 是您的 VPC 所在區域的名稱。
1. 選擇**閘道**類型。
1. 對於 **VPC**,選擇您要用於此端點的 VPC。
1. 針對**設定路由表**,選取要供端點使用的路由表。每個 VPC 服務會自動將路由新增到您選擇的路由表,以便將任何 S3 流量導向新的端點。
1. 對於**政策**,選擇**完整存取**,以允許 VPC 內的任何使用者或服務完整存取 S3 服務。選擇**自訂**,以進一步限制存取權。如需相關資訊,請參閱[使用自訂端點政策來限制存取 S3](#train-vpc-policy)。
### 使用自訂端點政策來限制存取 S3
預設端點政策可讓您的 VPC 中的任何使用者或服務完整存取 S3。若要進一步限制存取 S3,請建立自訂端點政策。如需詳細資訊,請參[ Amazon S3 使用端點政策](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3)。您也可以使用儲存貯體政策,以限制只有來自 Amazon VPC 流量才能存取您的 S3 儲存貯體。如需資訊,請參閱[使用 Amazon S3 儲存貯體政策](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies)。
#### 限制在訓練容器上安裝套件
預設端點政策允許使用者在訓練容器上安裝來自 Amazon Linux 和 Amazon Linux 2 儲存庫的套件。如果不希望使用者從該儲存庫安裝套件,請建立自訂端點政策,明確拒絕至 Amazon Linux 和 Amazon Linux 2 儲存庫的存取。以下為拒絕存取上述儲存庫的政策範例:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### 設定路由表
請為端點路由表使用預設的 DNS 設定,如此才能解析標準 Amazon S3 URL (例如 `http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`)。若未使用預設的 DNS 設定,請將端點路由表設定妥當,確保您用來指定訓練工作的資料所在位置的 URL 可解析。如需 VPC 端點路由表的相關資訊,請參閱 *Amazon VPC 使用者指南*中的[閘道端點路由](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing)的相關文章。
### 設定 VPC 安全群組
在分散式的訓練中,必須允許同一訓練工作內不同容器之間的通訊。若要執行此操作,請為安全群組設定規則,允許相同安全群組成員彼此間的傳入連線。針對啟用 EFA 的執行個體,請確保輸入和輸出連線都允許來自相同安全群組的所有流量。如需詳細資訊,請參閱 *Amazon Virtual Private Cloud 使用者指南*中的[安全群組規則](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules)。
### 連線至您的 VPC 外部的資源
若您將您的 VPC 設為無網際網路存取權限,使用該 VPC 的訓練工作即無法存取 VPC 以外的資源。若您的訓練任務需要存取您的 VPC 之外的資源,請以下列其中一種方式提供存取權限:
+ 如果您的訓練任務需要存取支援介面 VPC 端點的 AWS 服務,請建立端點以連線至該服務。如需支援介面端點的服務之清單,請參閱 [Amazon Virtual Private Cloud 使用者指南](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) 中的*VPC 端點*。如需有關建立介面 VPC 端點的資訊,請參閱《*Amazon Virtual Private Cloud 使用者指南*》中的[介面 VPC 端點 (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html)。
+ 如果您的訓練任務需要存取不支援介面 VPC 端點 AWS 的服務,或存取 外部的資源 AWS,請建立 NAT 閘道並設定安全群組以允許傳出連線。如需替您的 VPC 設定 NAT 閘道的相關資訊,請參閱 [Amazon Virtual Private Cloud 使用者指南](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html)中的*案例 2:VPC 搭配公有與私有子網路 (NAT)* 的相關文章。
### 使用 CloudWatch Logs 和指標監控 Amazon SageMaker 訓練任務
Amazon SageMaker AI 提供 Amazon CloudWatch 日誌和指標,以監控訓練任務。CloudWatch 提供 CPU、GPU、記憶體、GPU 記憶體和磁碟指標,以及事件記錄。如需監控 Amazon SageMaker 訓練任務的更多相關資訊,請參閱[Amazon CloudWatch 中的 Amazon SageMaker AI 指標](monitoring-cloudwatch.md)和[SageMaker AI 任務指標](monitoring-cloudwatch.md#cloudwatch-metrics-jobs)。
# 讓 SageMaker AI 託管的端點可以存取 Amazon VPC 中的資源
## 設定適用於 Amazon VPC 存取的模型
若要在私有 VPC 內指定子網路和安全群組,請使用 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html) API 的 `VpcConfig` 請求參數,或在 SageMaker AI 主控台建立模型時提供此資訊。SageMaker AI 會使用此資訊來建立網路介面,並將其附加至您的模型容器。網路介面會為模型容器提供您的 VPC 內的網路連線,而不會連線至網際網路。也可讓您的模型連線至私有 VPC 內的資源。
**注意**
您必須在私有 VPC 內建立兩個位於不同可用區域的子網路,即使只擁有一個託管執行個體也必須如此做。
以下為您包含在對 `VpcConfig` 的呼叫內的 `CreateModel` 參數的範例:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## 為 SageMaker AI 託管設定您的私有 VPC
在為您的 SageMaker AI 模型設定私有 VPC 時,請使用以下指導方針。如需如何設定 VPC 的相關資訊,請參閱 *Amazon VPC 使用者指南*中的[使用 VPC 和子網路](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html)的相關文章。
**Topics**
+ [確保子網路擁有充足的 IP 地址](#host-vpc-ip)
+ [建立 Amazon S3 VPC 端點](#host-vpc-s3)
+ [使用自訂端點政策來限制存取 Amazon S3](#host-vpc-policy)
+ [將 VPC 中執行容器的端點存取許可新增至自訂的 IAM 政策](#host-vpc-endpoints)
+ [設定路由表](#host-vpc-route-table)
+ [連線至您的 VPC 外部的資源](#model-vpc-nat)
### 確保子網路擁有充足的 IP 地址
不使用 Elastic Fabric Adapter (EFA) 的訓練執行個體至少應具有 2 個私有 IP 地址。使用 EFA 的訓練執行個體至少應具有 5 個私有 IP 地址。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的[多個 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html)。
### 建立 Amazon S3 VPC 端點
如果您將您的 VPC 設定為讓模型容器無法存取網際網路,除非您建立的 VPC 端點允許存取,否則也會無法連線至包含資料的 Amazon S3 儲存貯體。建立 VPC 端點可讓模型容器存取您存放資料和模型成品的儲存貯體。建議也建立一個自訂政策,只允許來自您私有 VPC 的請求存取您的 S3 儲存貯體。如需詳細資訊,請參閱 [Amazon S3 的端點](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html)。
**若要建立 Amazon S3 VPC 端點:**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**端點**,然後選擇**建立端點**
1. 針對**服務名稱**,選擇 **com.amazonaws.*region*.s3**,其中 *region* 是 VPC 所在的 AWS 區域名稱。
1. 針對 **VPC**,選擇您要用於此端點的 VPC。
1. 針對**設定路由表**,選擇端點要使用的路由表。VPC 服務會自動將路由新增到您選擇的每份路由表,以便將 Amazon S3 流量導向新的端點。
1. 對於**政策**,選擇**完整存取**,以允許 VPC 內的任何使用者或服務完整存取 Amazon S3 服務。若要進一步限制存取權,選擇**自訂**。如需詳細資訊,請參閱[使用自訂端點政策來限制存取 Amazon S3](#host-vpc-policy)。
### 使用自訂端點政策來限制存取 Amazon S3
預設端點政策可讓您的 VPC 中的任何使用者或服務完整存取 Amazon Simple Storage Service (Amazon S3)。若要進一步限制存取 Amazon S3,請建立自訂端點政策。如需詳細資訊,請參[ Amazon S3 使用端點政策](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3)。
您也可以使用儲存貯體政策,以限制只有來自 Amazon VPC 流量才能存取您的 S3 儲存貯體。如需資訊,請參閱[使用 Amazon S3 儲存貯體政策](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies)。
#### 使用自訂端點政策限制在模型容器上安裝套件
預設端點政策允許使用者在模型容器上安裝來自 Amazon Linux 和 Amazon Linux 2 儲存庫的套件。如果不希望使用者從這些儲存器安裝套件,請建立自訂端點政策,明確拒絕對 Amazon Linux 和 Amazon Linux 2 儲存庫的存取。以下為拒絕存取上述儲存庫的政策範例:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### 將 VPC 中執行容器的端點存取許可新增至自訂的 IAM 政策
`SageMakerFullAccess` 受管政策包含使用模型所需要的許可,這些模型是針對 Amazon VPC 存取及端點所設定。這些許可允許 SageMaker AI 建立彈性網路介面,並將其連接到在 VPC 中執行的模型容器。如果您使用自己的 IAM 政策,您必須將以下許可新增至該政策,才能使用針對 VPC 存取設定的模型。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface"
],
"Resource": "*"
}
]
}
```
------
如需 `SageMakerFullAccess` 受管政策的更多相關資訊,請參閱[AWS 受管政策:AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess)。
### 設定路由表
請為端點路由表使用預設的 DNS 設定,如此才能解析標準 Amazon S3 URL (例如 `http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`)。若未使用預設的 DNS 設定,請將端點路由表設定妥當,確保您用來指定模型的資料所在位置的 URL 可解析。如需 VPC 端點路由表的相關資訊,請參閱 *Amazon VPC 使用者指南*中的[閘道端點路由](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing)的相關文章。
### 連線至您的 VPC 外部的資源
若您將您的 VPC 設為無網際網路存取權限,使用該 VPC 的模型即無法存取您的 VPC 以外的資源。若您的模型需要存取您的 VPC 之外的資源,請以下列其中一種方式提供存取權限:
+ 如果您的模型需要存取支援介面 VPC 端點的 AWS 服務,請建立端點以連線至該服務。如需支援介面端點的服務之清單,請參閱 *Amazon VPC 使用者指南*中的 [VPC 端點](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html)的相關文章。如需建立介面 VPC 端點的相關資訊,請參閱《*Amazon* [VPC 使用者指南》中的介面 VPC 端點 (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html)。
+ 如果您的模型需要存取不支援介面 VPC 端點 AWS 的服務,或存取 外部的資源 AWS,請建立 NAT 閘道並設定安全群組以允許傳出連線。如需替您的 VPC 設定 NAT 閘道的相關資訊,請參閱 [Amazon Virtual Private Cloud 使用者指南](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html)中的*案例 2:VPC 搭配公有與私有子網路 (NAT)* 的相關文章。
# 允許批次轉換任務存取 Amazon VPC 中的資源
為了控制對您的資料和批次轉換任務的存取,建議您建立一個私有 Amazon VPC,並設定為任務無法經由公用網際網路存取。在建立模型時,可指定子網路和安全群組,便能設定您的私有 VPC 組態。然後,當您建立批次轉換任務時,請指定相同的模型。當您指定子網路和安全群組時,SageMaker AI 會在其中一個子網路內建立與安全群組建立關聯的*彈性網路介面*。網路介面可讓您的模型容器連線至您的 VPC 內的資源。如需有關網路介面的資訊,請參閱 *Amazon VPC 使用者指南*中的[彈性網路介面](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ElasticNetworkInterfaces.html)的相關文章。
本文件說明如何為批次轉換任務新增 Amazon VPC 組態。
## 設定批次轉換任務以存取 Amazon VPC
若要在私有 VPC 內指定子網路和安全群組,請使用 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html) API 的 `VpcConfig` 請求參數,或在 SageMaker AI 主控台建立模型時提供此資訊。然後,在 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html) API 的 `ModelName` 請求參數中,或在 SageMaker AI 主控台中建立轉換任務時於**模型名稱**欄位中指定相同的模型。SageMaker AI 會使用此資訊來建立網路介面,並將其附加至您的模型容器。網路介面會為模型容器提供您的 VPC 內的網路連線,而不會連線至網際網路。也可以讓您的轉換任務連線至私有 VPC 內的資源。
以下為您包含在對 `VpcConfig` 的呼叫內的 `CreateModel` 參數的範例:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
如果您是使用 `CreateModel` API 作業建立模型,則用來建立模型的 IAM 執行角色必須包含[CreateModel API:執行角色許可](sagemaker-roles.md#sagemaker-roles-createmodel-perms)中所述的許可,包括私有 VPC 所需的下列許可。
在主控台中建立模型時,如果您在**模型設定**區段中選取**建立新角色**,則用於建立角色的 [AmazonSageMakerFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess$jsonEditor) 政策已包含這些許可限。如果您選取**輸入自訂 IAM 角色 ARN** 或**使用現有的角色**,則您指定的角色 ARN 必須具有附加下列許可的執行政策。
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
```
## 為 SageMaker AI 批次轉換設定您的私有 VPC
在為您的 SageMaker AI 批次轉換任務設定私有 VPC 時,請使用下列指導方針。如需如何設定 VPC 的相關資訊,請參閱 *Amazon VPC 使用者指南*中的[使用 VPC 和子網路](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html)的相關文章。
**Topics**
+ [確保子網路擁有充足的 IP 地址](#batch-vpc-ip)
+ [建立 Amazon S3 VPC 端點](#batch-vpc-s3)
+ [使用自訂端點政策來限制存取 S3](#batch-vpc-policy)
+ [設定路由表](#batch-vpc-route-table)
+ [設定 VPC 安全群組](#batch-vpc-groups)
+ [連線至您的 VPC 外部的資源](#batch-vpc-nat)
### 確保子網路擁有充足的 IP 地址
您的 VPC 子網路應至少擁有兩個可用的私有 IP 地址,以供轉換任務中的各個執行個體使用。如需詳細資訊,請參閱 *Amazon VPC 使用者指南*中的 [IPv4 的 VPC 與子網路的大小調整](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4)的相關文章。
### 建立 Amazon S3 VPC 端點
如果您將您的 VPC 設定為讓模型容器無法存取網際網路,除非您建立的 VPC 端點允許存取,否則也會無法連線至包含資料的 Amazon S3 儲存貯體。建立 VPC 端點可讓模型容器存取您存放資料和模型成品的儲存貯體。建議也建立一個自訂政策,只允許來自您私有 VPC 的請求存取您的 S3 儲存貯體。如需詳細資訊,請參閱 [Amazon S3 的端點](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html)。
**建立 S3 VPC 端點:**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**端點**,然後選擇**建立端點**
1. 對於**服務名稱)**,選擇 **com.amazonaws.*region*.s3**,其中 *region* 是您的 VPC 所在區域的名稱。
1. 對於 **VPC**,選擇您要用於此端點的 VPC。
1. 針對**設定路由表**,選取要供端點使用的路由表。每個 VPC 服務會自動將路由新增到您選擇的路由表,以便將任何 S3 流量導向新的端點。
1. 對於**政策**,選擇**完整存取**,以允許 VPC 內的任何使用者或服務完整存取 S3 服務。選擇**自訂**,以進一步限制存取權。如需相關資訊,請參閱[使用自訂端點政策來限制存取 S3](#batch-vpc-policy)。
### 使用自訂端點政策來限制存取 S3
預設端點政策可讓您的 VPC 中的任何使用者或服務完整存取 S3。若要進一步限制存取 S3,請建立自訂端點政策。如需詳細資訊,請參[ Amazon S3 使用端點政策](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3)。您也可以使用儲存貯體政策,以限制只有來自 Amazon VPC 流量才能存取您的 S3 儲存貯體。如需資訊,請參閱[使用 Amazon S3 儲存貯體政策](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies)。
#### 限制在模型容器上安裝套件
預設端點政策允許使用者在訓練容器上安裝來自 Amazon Linux 和 Amazon Linux 2 儲存庫的套件。如果不希望使用者從該儲存庫安裝套件,請建立自訂端點政策,明確拒絕至 Amazon Linux 和 Amazon Linux 2 儲存庫的存取。以下為拒絕存取上述儲存庫的政策範例:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### 設定路由表
請為端點路由表使用預設的 DNS 設定,如此才能解析標準 Amazon S3 URL (例如 `http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`)。如果您未使用預設的 DNS 設定,請將端點路由表設定妥當,確保您用來指定批次轉換任務之資料所在位置的 URL 可解析。如需 VPC 端點路由表的相關資訊,請參閱 *Amazon VPC 使用者指南*中的[閘道端點路由](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing)的相關文章。
### 設定 VPC 安全群組
在分散式批次轉換中,必須允許同一批次轉換任務內不同容器之間的通訊。若要執行此操作,請為安全群組設定規則,允許相同安全群組成員彼此間的傳入與傳出連線。相同安全群組的成員應該能夠在所有連接埠之間彼此通訊。如需詳細資訊,請參閱[安全群組規則](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules)。
### 連線至您的 VPC 外部的資源
如果您將您的 VPC 設為無網際網路存取權限,使用該 VPC 的批次轉換任務即無法存取您的 VPC 外部資源。如果您的批次轉換任務需要存取您的 VPC 外部的資源,請透過下列選項之一提供存取權限:
+ 如果您的批次轉換任務需要存取支援介面 VPC 端點的 AWS 服務,請建立端點以連線至該服務。如需支援介面端點的服務之清單,請參閱 *Amazon VPC 使用者指南*中的 [VPC 端點](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html)的相關文章。如需有關建立介面 VPC 端點的資訊,請參閱《*Amazon* [VPC 使用者指南》中的介面 VPC 端點 (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html)。
+ 如果您的批次轉換任務需要存取不支援介面 VPC 端點 AWS 的服務,或存取 外部的資源 AWS,請建立 NAT 閘道並設定安全群組以允許傳出連線。如需替您的 VPC 設定 NAT 閘道的相關資訊,請參閱 [Amazon Virtual Private Cloud 使用者指南](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html)中的*案例 2:VPC 搭配公有與私有子網路 (NAT)* 的相關文章。
# 允許 Amazon SageMaker Clarify 任務存取您 Amazon VPC 中的資源
為了控制對您的資料和 SageMaker Clarify 任務的存取,建議您建立一個私有 Amazon VPC,並設定為任務無法經由公用網際網路存取。有關建立和配置 Amazon VPC 以處理作業的資訊,請參閱[允許 SageMaker Processing 工作存取您的 Amazon VPC 中的資源](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc)。
本文件說明如何新增符合 SageMaker Clarify 任務需求的其他 Amazon VPC 組態。
**Topics**
+ [設定 SageMaker Clarify 任務存取的 Amazon VPC](#clarify-vpc-config)
+ [設定 SageMaker Clarify 任務存取私有 Amazon VPC](#clarify-vpc-vpc)
## 設定 SageMaker Clarify 任務存取的 Amazon VPC
您需要在為 SageMaker Clarify 任務設定您的私有 Amazon VPC 時指定子網路和安全群組,也需要在計算訓練後偏差指標和特徵貢獻時,使任務能夠從 SageMaker AI 模型取得推論,以協助說明模型預測。
**Topics**
+ [SageMaker Clarify 任務 Amazon VPC 子網路和安全群組](#clarify-vpc-job)
+ [設定用於推論的模型 Amazon VPC](#clarify-vpc-model)
### SageMaker Clarify 任務 Amazon VPC 子網路和安全群組
您的私有 Amazon VPC 中的子網路和安全群組可以透過各種方式將指派給 SageMaker Clarify 任務,具體取決於您建立任務的方式。
+ **SageMaker AI 主控台**:在 **SageMaker AI 儀表板**中建立任務時,請提供此資訊。從**處理**功能表中選擇**處理工作**,然後選擇**建立處理工作**。在**網路**面板中選取 **VPC** 選項,然後使用下拉式清單提供子網路和安全群組。確定此面板中提供的網路隔離選項已關閉。
+ **SageMaker API**:使用 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob) API 的 `NetworkConfig.VpcConfig` 要求參數,如下列範例所示:
```
"NetworkConfig": {
"VpcConfig": {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
}
```
+ **SageMaker Python SDK**:使用 [https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor) API 的 `NetworkConfig` 參數,或 [https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor) API,如下列範例所示:
```
from sagemaker.network import NetworkConfig
network_config = NetworkConfig(
subnets=[
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2",
],
security_group_ids=[
"sg-0123456789abcdef0",
],
)
```
SageMaker AI 會使用這些資訊來建立網路介面,並將其連接至 SageMaker Clarify 任務。網路介面會為 SageMaker Clarify 提供 Amazon VPC 內的網路連線,該連線不會連至公用網際網路。它們也可讓 SageMaker Clarify 任務連線到私有 Amazon VPC 中的資源。
**注意**
必須關閉 SageMaker Clarify 任務的網路隔離選項 (預設會關閉此選項),以便 SageMaker Clarify 任務可以與影子端點通訊。
### 設定用於推論的模型 Amazon VPC
為了計算訓練後偏差指標和可解釋性,SageMaker Clarify 任務需要從 SageMaker AI 模型取得推論,而此模型是[分析組態](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html#clarify-processing-job-configure-analysis) 的 `model_name` 參數為 SageMaker Clarify 處理任務指定的。或者,如果您在 SageMaker AI Python SDK 中使用 `SageMakerClarifyProcessor` API,則任務需要取得 [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig) 類別所指定的 `model_name`。為了達成此目的,SageMaker Clarify 任務會使用模型 (稱為*影子端點*) 建立暫時端點,然後將模型的 Amazon VPC 組態套用至影子端點。
若要在私有 Amazon VPC 中將子網路和安全群組指定到 SageMaker AI 模型,請使用 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel) API 的 `VpcConfig` 請求參數,或在您使用主控台中的 SageMaker AI 儀表板建立模型時提供此資訊。以下為您包含在對 `VpcConfig` 的呼叫內的 `CreateModel` 參數的範例:
```
"VpcConfig": {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
您可以使用 SageMaker Clarify 處理任務的[分析組態](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html#clarify-processing-job-configure-analysis) `initial_instance_count` 參數,指定要啟動的影子端點執行個體數目。或者,如果您在 SageMaker AI Python SDK 中使用 `SageMakerClarifyProcessor` API,則任務需要取得 [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig) 類別所指定的 `instance_count`。
**注意**
即使您在建立影子端點時僅要求一個執行個體,在個別可用區域中的模型 [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig) 至少需要兩個子網路。否則,影子端點將建立失敗,並出現下列錯誤:
ClientError:託管端點 sagemaker-clarify-endpoint-XXX 錯誤:失敗。原因:找不到至少 2 個可用區域,且要求的執行個體類型 YYY 與 SageMaker AI 子網路重疊。
如果您的模型需要 Amazon S3 中的模型檔案,則該模型的 Amazon VPC 需要具有 Amazon S3 VPC 端點。如需為 SageMaker AI 模型建立和設定 Amazon VPC 的詳細資訊,請參閱[讓 SageMaker AI 託管的端點可以存取 Amazon VPC 中的資源](host-vpc.md)。
## 設定 SageMaker Clarify 任務存取私有 Amazon VPC
一般來說,您可以按照[為 SageMaker 處理配置您的私有 VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc.html#process-vpc-vpc)為 SageMaker 澄清作業配置您的私有亞馬遜 VPC。以下是 SageMaker Clarify 任務的數個重點與特殊要求。
**Topics**
+ [連線至 Amazon VPC 外部的資源](#clarify-vpc-nat)
+ [設定 Amazon VPC 安全群組](#clarify-vpc-security-group)
### 連線至 Amazon VPC 外部的資源
如果您設定 Amazon VPC 使其無法存取公用網際網路,則需要一些額外的設定,才能授予 SageMaker Clarify 任務存取 Amazon VPC 以外的資源和服務的許可。例如,需要使用 Amazon S3 VPC 端點,因為 SageMaker Clarify 任務需要從 S3 儲存貯體載入資料集,並將分析結果儲存到 S3 儲存貯體。如需詳細資訊,請參閱建立指南中的[建立 Amazon S3 VPC 端點](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc.html#process-vpc-s3)。此外,如果 SageMaker Clarify 任務需要從影子端點取得推論,則需要呼叫更多 AWS 服務。
+ **建立 Amazon SageMaker API 服務 VPC 端點**:SageMaker Clarify 任務需要呼叫 Amazon SageMaker API 服務來操控影子端點,或描述用於 Amazon VPC 驗證的 SageMaker AI 模型。您可以遵循[使用 AWS PrivateLink 保護所有 Amazon SageMaker API 呼叫](https://aws.amazon.com/blogs/machine-learning/securing-all-amazon-sagemaker-api-calls-with-aws-privatelink/)部落格中提供的指引,建立可讓 SageMaker Clarify 任務進行服務呼叫的 Amazon SageMaker API VPC 端點。請注意,Amazon SageMaker API 服務的服務名稱為 `com.amazonaws.region.sagemaker.api`,其中 *region* 是您的 Amazon VPC 所在區域的名稱。
+ **建立 Amazon SageMaker AI 執行時期 VPC 端點**:SageMaker Clarify 工作需要呼叫 Amazon SageMaker AI 執行時期服務,將調用路由到影子端點。設定步驟與 Amazon SageMaker API 服務的設定步驟類似。請注意,Amazon SageMaker AI 執行時期服務的服務名稱為 `com.amazonaws.region.sagemaker.runtime`,其中 *region* 是 Amazon VPC 所在區域的名稱。
### 設定 Amazon VPC 安全群組
當以下列其中一種方式指定兩個或多個處理執行個體時,SageMaker Clarify 任務會支援分散式處理:
+ **SageMaker AI 主控台**:**執行個體計數**是在**建立處理任務**頁面上**任務設定**面板的**資源組態**部分中指定的。
+ **SageMaker API**:在您使用 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob) API 建立任務時指定 `InstanceCount`。
+ **SageMaker Python SDK**[:在使用 [SageMakerClarifyProcessor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor) API 時,或使用處理器](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor)時指定 `instance_count`。
在分散式處理中,必須允許同一處理任務內不同執行個體之間的通訊。若要執行此操作,請為安全群組設定規則,允許相同安全群組成員彼此間的傳入連線。如需資訊,請參閱[安全群組規則](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules)。
# 讓 SageMaker AI 編譯任務可以存取 Amazon VPC 中的資源
**注意**
對於編譯任務,您只能使用任務在共用硬體執行所在的預設租用 VPC 來設定子網路。如需 VPC 租用屬性的詳細資訊,請參閱[專用執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)。
## 設定編譯任務以存取 Amazon VPC
若要在私有 VPC 內指定子網路和安全群組,請使用 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html) API 的 `VpcConfig` 請求參數,或在 SageMaker AI 主控台建立編譯任務時提供此資訊。SageMaker AI Neo 會使用此資訊來建立網路介面,並將其連接至您的編譯任務。網路介面會為編譯任務提供您的 VPC 內的網路連線,而不會連線至網際網路。也可以讓您的編譯任務連線至私有 VPC 內的資源。以下為您包含在對 `VpcConfig` 的呼叫內的 `CreateCompilationJob` 參數的範例:
```
VpcConfig: {"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## 為 SageMaker AI 編譯設定您的私有 VPC
在為您的 SageMaker AI 編譯任務設定私有 VPC 時,請使用以下指導方針。如需如何設定 VPC 的相關資訊,請參閱 *Amazon VPC 使用者指南*中的[使用 VPC 和子網路](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html)的相關文章。
**Topics**
+ [確保子網路擁有充足的 IP 地址](#neo-vpc-ip)
+ [建立 Amazon S3 VPC 端點](#neo-vpc-s3)
+ [使用自訂端點政策來限制存取 S3](#neo-vpc-policy)
+ [設定路由表](#neo-vpc-route-table)
+ [設定 VPC 安全群組](#neo-vpc-groups)
### 確保子網路擁有充足的 IP 地址
您的 VPC 子網路應至少擁有兩個可用的私有 IP 地址,以供編譯任務中的各個執行個體使用。如需詳細資訊,請參閱 *Amazon VPC 使用者指南*中的[ IPv4 的 VPC 與子網路的大小調整](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4)的相關文章。
### 建立 Amazon S3 VPC 端點
如果您將您的 VPC 設定為封鎖模型容器存取網際網路,則除非您建立的 VPC 端點允許存取,否則 SageMaker Neo 會無法連線至包含模型的 Amazon S3 儲存貯體。建立 VPC 端點可讓 SageMaker Neo 編譯任務存取您存放資料和模型成品的儲存貯體。建議也建立一個自訂政策,只允許來自您私有 VPC 的請求存取您的 S3 儲存貯體。如需詳細資訊,請參閱 [Amazon S3 的端點](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html)。
**建立 S3 VPC 端點:**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**端點**,然後選擇**建立端點**
1. 對於**服務名稱**,搜尋 **com.amazonaws.*region*.s3**,其中 *region* 是您的 VPC 所在區域的名稱。
1. 選擇**閘道**類型。
1. 對於 **VPC**,選擇您要用於此端點的 VPC。
1. 針對**設定路由表**,選取要供端點使用的路由表。每個 VPC 服務會自動將路由新增到您選擇的路由表,以便將任何 S3 流量導向新的端點。
1. 對於**政策**,選擇**完整存取**,以允許 VPC 內的任何使用者或服務完整存取 S3 服務。選擇**自訂**,以進一步限制存取權。如需相關資訊,請參閱[使用自訂端點政策來限制存取 S3](train-vpc.md#train-vpc-policy)。
### 使用自訂端點政策來限制存取 S3
預設端點政策可讓您的 VPC 中的任何使用者或服務完整存取 S3。若要進一步限制存取 S3,請建立自訂端點政策。如需詳細資訊,請參[ Amazon S3 使用端點政策](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3)。您也可以使用儲存貯體政策,以限制只有來自 Amazon VPC 流量才能存取您的 S3 儲存貯體。如需資訊,請參閱[使用 Amazon S3 儲存貯體政策](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies)。以下是自訂政策範例:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::your-sample-bucket",
"arn:aws:s3:::your-sample-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": [
"vpce-1a2b3c4d"
]
}
}
}
]
}
```
------
#### 針對在 Amazon VPC 中執行之編譯任務新增許可,來自定 IAM 政策
`SageMakerFullAccess` 受管政策包含使用模型所需要的許可,這些模型是針對 Amazon VPC 存取及端點所設定。這些許可允許 SageMaker Neo 建立彈性網路介面,並將它附加到在 Amazon VPC 中執行的編譯任務。如果您使用自己的 IAM 政策,您必須將以下許可新增至該政策,才能使用針對 Amazon VPC 存取設定的模型。
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
如需 `SageMakerFullAccess` 受管政策的更多相關資訊,請參閱[AWS 受管政策:AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess)。
### 設定路由表
請為端點路由表使用預設的 DNS 設定,如此才能解析標準 Amazon S3 URL (例如 `http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`)。若未使用預設的 DNS 設定,請將端點路由表設定妥當,確保您用來指定編譯任務的資料所在位置的 URL 可解析。如需 VPC 端點路由表的相關資訊,請參閱 *Amazon VPC 使用者指南*中的[閘道端點路由](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing)的相關文章。
### 設定 VPC 安全群組
在編譯任務的安全群組中,您必須允許對 Amazon S3 Amazon VPC 端點的輸出通訊,以及用於編譯任務的子網路 CIDR 範圍。有關資訊,請參閱[安全組規則](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules)和[使用 Amazon VPC 終端節點控制服務存取](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html)。
# 允許 Inference Recommender 任務存取您的 Amazon VPC 中的資源
**注意**
Inference Recommender 會要求您在 Model Registry 中登錄您的模型。請注意,Model Registry 不允許您的模型成品或 Amazon ECR 映像受到 VPC 限制。
Inference Recommender 也要求您的範例承載 Amazon S3 物件不受 VPC 限制。針對 Inference Recommender 任務,您無法建立僅允許私有 VPC 的請求存取您 Amazon S3 儲存貯體請求的自訂政策。
若要在私有 VPC 中指定子網路和安全群組,請使用 [CreateInferenceRecommendationsJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html) API 的 `RecommendationJobVpcConfig` 請求參數,或在 SageMaker AI 主控台建立建議任務時指定您的子網路和安全群組。
Inference Recommender 會使用此資訊來建立端點。佈建端點時,SageMaker AI 會建立網路介面並將其連接至您的端點。網路介面可為您的端點提供與您的 VPC 的網路連線。以下為您包含在對 `VpcConfig` 的呼叫內的 `CreateInferenceRecommendationsJob` 參數的範例:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
如需設定 Amazon VPC 以搭配 Inference Recommender 任務使用的詳細資訊,請參閱下列主題。
**Topics**
+ [確保子網路擁有充足的 IP 地址](#inference-recommender-vpc-access-subnets)
+ [建立 Amazon S3 VPC 端點](#inference-recommender-vpc-access-endpoint)
+ [將 Amazon VPC 中執行的 Inference Recommender 任務的許可限新增至自訂 IAM政策略](#inference-recommender-vpc-access-permissions)
+ [設定路由表](#inference-recommender-vpc-access-route-tables)
+ [設定 VPC 安全群組](#inference-recommender-vpc-access-security-group)
## 確保子網路擁有充足的 IP 地址
您的 VPC 子網路應至少擁有兩個可用的私有 IP 地址,以供 Inference Recommender 任務中的各個執行個體使用。如需有關子網路和私有 IP 地址的更多相關資訊,請參閱 *Amazon VPC 使用者指南》*中的 [Amazon VPC 如何運作](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4)的相關文章。
## 建立 Amazon S3 VPC 端點
如果您將您的 VPC 設定為封鎖模型容器存取網際網路,則除非您建立的 VPC 端點允許存取,否則 Inference Recommender 會無法連線至包含模型的 Amazon S3 儲存貯體。建立 VPC 端點可讓您的 SageMaker AI 推論建議任務存取您存放資料和模型成品的儲存貯體。
若要建立 Amazon S3 VPC 端點,請使用下列程序:
1. 開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。
1. 在導覽窗格中,選擇**端點**,然後選擇**建立端點**。
1. 對於**服務名稱**,搜尋 `com.amazonaws.region.s3`,其中 `region` 是您的 VPC 所在區域的名稱。
1. 選擇**閘道類型**。
1. 對於 **VPC**,選擇您要用於此端點的 VPC。
1. 針對**設定路由表**,選取要供端點使用的路由表。每個 VPC 服務會自動將路由新增到您選擇的路由表,以便將任何 Amazon S3 流量導向新的端點。
1. 對於**政策**,選擇**完整存取**,以允許 VPC 內的任何使用者或服務完整存取 Amazon S3 服務。
## 將 Amazon VPC 中執行的 Inference Recommender 任務的許可限新增至自訂 IAM政策略
`[ AmazonSageMakerFullAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSageMakerFullAccess)` 受管政策包含使用模型所需要的許可,這些模型是針對 Amazon VPC 存取及端點所設定。這些許可允許 Inference Recommender 建立彈性網路介面,並將其附加到 Amazon VPC 中執行的推論建議任務。如果您使用自己的 IAM 政策,您必須將以下許可新增至該政策,才能使用針對 Amazon VPC 存取設定的模型。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
## 設定路由表
請為端點路由表使用預設的 DNS 設定,如此才能解析標準 Amazon S3 URL (例如 `http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`)。若未使用預設的 DNS 設定,請將端點路由表設定妥當,確保您用來指定推論建議任務的資料所在位置的 URL 可解析。如需 VPC 端點路由表的相關資訊,請參閱 *Amazon VPC 使用者指南*中的[閘道端點路由](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing)的相關文章。
## 設定 VPC 安全群組
在推論建議的安全群組中,您必須允許對 Amazon S3 VPC 端點的輸出通訊,以及用於推論建議的子網路 CIDR 範圍。有關資訊,請參閱 *Amazon VPC 使用者指南》*中關於[安全組規則](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules)和[使用 Amazon VPC 端點控制對服務的存取](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html)。