授予 Inference Recommender 作业访问 Amazon VPC 中资源的权限 - Amazon SageMaker
确保子网拥有足够的 IP 地址创建 Amazon S3 VPC 端点将在 Amazon VPC 中运行的 Inference Recommender 作业的权限添加到自定义 IAM 策略配置路由表配置 VPC 安全组
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

授予 Inference Recommender 作业访问 Amazon VPC 中资源的权限

注意

Inference Recommender 要求您在模型注册表中注册模型。请注意,模型注册表不允许您的模型构件或 Amazon ECR 映像受 VPC 限制。

Inference Recommender 还要求您的示例负载 Amazon S3 对象不受 VPC 限制。对于推理建议作业,您无法创建只允许来自私有 VPC 的请求访问 Amazon S3 存储桶的自定义策略。

要在私有 VPC 中指定子网和安全组,请使用 CreateInferenceRecommendationsJob API 的 RecommendationJobVpcConfig 请求参数,或在 SageMaker 控制台中创建建议作业时指定子网和安全组。

Inference Recommender 使用这些信息来创建端点。预置端点时,SageMaker 会创建网络接口并将其附加到端点。网络接口为端点提供与 VPC 的网络连接。以下是您在调用 CreateInferenceRecommendationsJob 时将包含的 VpcConfig 参数的示例:

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }

有关配置 Amazon VPC 以用于 Inference Recommender 作业的更多信息,请参阅以下主题。

确保子网拥有足够的 IP 地址

对于推理建议作业中的每个实例,您的 VPC 子网应至少具有两个私有 IP 地址。有关子网和私有 IP 地址的更多信息,请参阅《Amazon VPC 用户指南》中的 Amazon VPC 的工作原理

创建 Amazon S3 VPC 端点

如果您将 VPC 配置为阻止访问互联网,则 Inference Recommender 无法连接到包含模型的 Amazon S3 存储桶,除非您创建一个允许访问的 VPC 端点。通过创建 VPC 端点,您允许 SageMaker 推理建议作业访问用于存储数据和模型构件的存储桶。

要创建 Amazon S3 VPC 端点,请按以下步骤操作:

  1. 打开 Amazon VPC 控制台

  2. 在导航窗格中,选择 Endpoints (终端节点),然后选择 Create Endpoint (创建终端节点)

  3. 对于服务名称,请搜索 com.amazonaws.region.s3,其中 region 是您的 VPC 所在区域的名称。

  4. 选择网关类型

  5. 对于 VPC,请选择要用于该终端节点的 VPC。

  6. 对于 Configure route tables,选择终端节点要使用的路由表。VPC 服务自动将一个路由添加到您选择的每个路由表中,它将任何 Amazon S3 流量传送到新的端点。

  7. 对于策略,请选择完全访问以允许 VPC 中的任何用户或服务完全访问 Amazon S3 服务。

将在 Amazon VPC 中运行的 Inference Recommender 作业的权限添加到自定义 IAM 策略

AmazonSageMakerFullAccess 托管策略包含相应的权限,您需要具有这些权限才能使用为通过端点访问 Amazon VPC 而配置的模型。这些权限允许 Inference Recommender 创建弹性网络接口并将其附加到在 Amazon VPC 中运行的推理建议作业。如果您使用自己的 IAM 策略,则必须将以下权限添加到该策略,以使用为进行 Amazon VPC 访问配置的模型。

{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}

配置路由表

对端点路由表使用默认的 DNS 设置,以便解析标准 Amazon S3 URL(例如 http://s3-aws-region.amazonaws.com/MyBucket)。如果您不使用默认 DNS 设置,则确保通过配置端点路由表来解析用于指定推理建议作业中数据位置的 URL。有关 VPC 端点路由表的信息,请参阅《Amazon VPC 用户指南》中的网关端点路由

配置 VPC 安全组

在推理建议作业的安全组中,您必须允许与 Amazon S3 VPC 端点和用于推理建议作业的子网 CIDR 范围进行出站通信。有关信息,请参阅《Amazon VPC 用户指南》中的安全组规则使用 Amazon VPC 端点控制对服务的访问权限