通过 VPC 接口终端节点 Connect 到 SageMaker - Amazon SageMaker
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过 VPC 接口终端节点 Connect 到 SageMaker

您可以直接连接到 SageMaker API 或通过接口终端节点而不是 Virtual Private Cloud (VPC) 过 Internet 进行连接。当您使用 VPC 接口终端节点时,您的 VPC 与 SageMaker API 或运行时之间的通信完全在Amazon网络。

SageMaker API 和运行时支持Amazon Virtual Private Cloud(Amazon VPC) 接口终端节点,而这些终端节点由提供支持AmazonPrivateLink. 每个 VPC 终端节点均由一个或多个弹性网络接口使用您的 VPC 子网中的私有 IP 地址。

VPC 接口终端节点将您的 VPC 直接连接到 SageMaker API 或运行时,而无需互联网网网关、NAT 设备、VPN 连接或Amazon Direct Connect连接。VPC 中的实例不需要公有 IP 地址便可与 SageMaker API 或运行时进行通信。

您可以创建接口终端节点以连接到 SageMaker 或 SageMaker 运行时,使用Amazon控制台或Amazon Command Line Interface(Amazon CLI) 命令。有关说明,请参阅创建接口终端节点

创建 VPC 终端节点后,您可以使用下面的 CLI 命令示例,这些命令使用endpoint-url参数来指定 SageMaker API 或运行时的接口端点:

aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker-runtime invoke-endpoint --endpoint-url VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \ --endpoint-name Endpoint_Name \ --body "Endpoint_Body" \ --content-type "Content_Type" \ Output_File

如果为 VPC 终端节点启用专用 DNS 主机名,您不需要指定终端节点 URL。CLI 和 SageMaker 软件开发工具包在默认情况下使用的 SageMaker API DNS 主机名 (https://api.sagemaker.区域.amazon.com) 解析为您的 VPC 终端节点。同样,CLI 和 SageMaker 运行时开发工具包在默认情况下使用的 SageMaker 运行时 DNS 主机名 (https://runtime.sagemaker区域.amazonaws.com) 解析为您的 VPC 终端节点。

SageMaker API 和运行 VPC 支持所有Amazon两个区域Amazon VPCSageMaker可用。SageMaker 支持调用Operations在您的 VPC 内部。结果AuthorizedUrl来自 的CreatePresignedNotebookInstanceUrl不支持Amazon PrivateLink. 有关如何启用Amazon PrivateLink获取用户用于连接到笔记本实例的授权 URL,请参阅。通过 VPC 接口终端节点连接到笔记本实例.

了解相关更多信息Amazon PrivateLink,请参阅Amazon PrivateLink文档. 请参阅VPC 定价了解 VPC 终端节点的价格。要了解有关 VPC 和终端节点的更多信息,请参阅 Amazon VPC。有关如何使用基于身份的信息Amazon Identity and Access Management策略来限制对 SageMaker API 和运行时的访问,请参阅使用基于身份的策略控制对 SageMaker API 的访问.

您可以为 SageMaker 的 Amazon VPC 终端节点创建一个策略,在该策略中指定以下内容:

  • 可执行操作的委托人。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 终端节点控制对服务的访问

注意

联邦信息处理标准 (FIPS) SageMaker 运行时终端节点不支持 VPC 终端节点策略,用于runtime_InvokeEndpoint.

以下示例 VPC 终端节点策略指定有权访问 VPC 接口终端节点的所有用户都可以调 SageMaker 名为myEndpoint.

{ "Statement": [ { "Action": "sagemaker:InvokeEndpoint", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint", "Principal": "*" } ] }

在本示例中,会拒绝以下操作:

  • 其他 SageMaker API 操作,例如sagemaker:CreateEndpointsagemaker:CreateTrainingJob.

  • 调用 SageMaker 托管终端节点之外的myEndpoint.

注意

在本示例中,用户仍然可以从 VPC 外部调用其他 SageMaker API 操作。有关如何将 API 调用限制为该 VPC 中执行的那些调用的信息,请参阅 使用基于身份的策略控制对 SageMaker API 的访问

要为 Amazon SageMaker 功能存储创建 VPC 终端节点,请使用以下终端节点模板,将VPC 端点 ID API区域

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

要通过您的 VPC 调用 SageMaker API 和运行时,您必须从位于 VPC 中的实例进行连接,或者使用Amazon Virtual Private Network(Amazon VPN)或Amazon Direct Connect. 有关的信息Amazon VPN,请参阅VPN 连接中的Amazon Virtual Private Cloud 用户指南. 有关的信息Amazon Direct Connect,请参阅创建连接中的AmazonDirect Connect 用户指南.