连接到 SageMaker 通过 VPC 接口终端节点节点 - Amazon SageMaker
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

连接到 SageMaker 通过 VPC 接口终端节点节点

你可以直接连接到 SageMaker API 或 SageMaker 运行时接口终端节点在您的 Virtual Private Cloud (VPC) 中,而不是通过 Internet 进行连接。当您使用 VPC 接口终端节点时,您的 VPC 与 SageMaker API 或运行时完全安全地在Amazon网络。

这些区域有: SageMaker API 和运行时支持Amazon Virtual Private Cloud(Amazon VPC) 接口终端节点由提供支持AmazonPrivateLink. 每个 VPC 终端节点均由一个或多个表示。弹性网络接口您的 VPC 子网中具有私有 IP 地址。

VPC 接口终端节点将您的 VPC 直接连接到 SageMaker 没有互联网网关、NAT 设备、VPN 连接的 API 或运行时Amazon Direct Connect连接。VPC 中的实例不需要公有 IP 地址便可与 SageMaker API 或运行时。

您可以创建接口终端节点以连接到 SageMaker 或者去 SageMaker 运行时使用Amazon控制台或Amazon Command Line Interface(Amazon CLI) 命令。有关说明,请参阅创建接口终端节点

创建 VPC 终端节点后,您可以使用以下示例 CLI 命令,这些命令使用endpoint-url参数来指定接口终端节点 SageMaker API 或运行时:

aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker-runtime invoke-endpoint --endpoint-url VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \ --endpoint-name Endpoint_Name \ --body "Endpoint_Body" \ --content-type "Content_Type" \ Output_File

如果为 VPC 终端节点启用专用 DNS 主机名,您不需要指定终端节点 URL。这些区域有: SageMaker CLI 和的 API DNS 主机名 SageMaker 默认情况下 SDK 使用(https://api.sagemaker.区域.amazon.com) 解析为 VPC 终端节点。同样, SageMaker CLI 和 SageMaker 运行时开发工具包在默认情况下使用的运行时 DNS 主机名 (https://runtime.sagemaker.区域.amazonaws.com) 解析为您的 VPC 终端节点。

这些区域有: SageMaker API 和运行时都支持 VPC 终端节点Amazon两者的区域Amazon VPCSageMaker都可用。 SageMaker 支持打电话给它的所有Operations在您的 VPC 内。结果AuthorizedUrl来自 的CreatePresignedNotebookInstanceUrl不支持Amazon PrivateLink. 有关如何启用的信息Amazon PrivateLink有关用户用于连接到笔记本实例的授权 URL,请参阅。通过 VPC 接口终端节点连接到笔记本实例.

了解相关更多信息Amazon PrivateLink,请参阅Amazon PrivateLink文档. 请参阅VPC 定价定价对 VPC 终端节点的价格。要了解有关 VPC 和终端节点的更多信息,请参阅 Amazon VPC。有关如何使用基于身份的信息Amazon Identity and Access Management使用策略来限制对 SageMaker API 和运行时,请参阅控制对的访问 SageMaker 使用基于身份的策略 API.

您可以为 Amazon VPC 终端节点创建一个策略, SageMaker 要指定以下内容:

  • 可执行操作的委托人。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 终端节点控制对服务的访问

注意

联邦信息处理标准 (FIPS) 不支持 VPC 终端节点策略 SageMaker 运行时终端节点runtime_InvokeEndpoint.

以下示例 VPC 终端节点策略指定有权访问 VPC 接口终端节点的所有用户都可以调用 SageMaker 名为的托管端点myEndpoint.

{ "Statement": [ { "Action": "sagemaker:InvokeEndpoint", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint", "Principal": "*" } ] }

在本示例中,会拒绝以下操作:

  • 其他 SageMaker 如 API 操作sagemaker:CreateEndpointsagemaker:CreateTrainingJob.

  • 调用 SageMaker 以外的托管终端节点myEndpoint.

注意

在本示例中,用户仍然可以使用其他 SageMaker 来自 VPC 外部的 API 操作。有关如何将 API 调用限制为该 VPC 中执行的那些调用的信息,请参阅 控制对的访问 SageMaker 使用基于身份的策略 API

为 Amazon 创建 VPC 终端节点 SageMaker 要素商店,使用以下终端节点模板,替换vpc_endpoint _ID.api区域

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

调用 SageMaker 要通过您的 VPC 进行 API 和运行时,您必须从位于 VPC 中的实例进行连接,或者使用Amazon Virtual Private Network(Amazon VPN) 或Amazon Direct Connect. 有关的信息Amazon VPN,请参阅VPN 连接中的Amazon Virtual Private Cloud 用户指南. 有关的信息Amazon Direct Connect,请参阅创建连接中的AmazonDirect Connect 用户指南.