Esecuzione di container di addestramento e inferenza in modalità Internet-Free

I container di addestramento e inferenza distribuita di SageMaker AI sono abilitati per Internet per impostazione predefinita. Questo consente ai container di accedere ai servizi esterni e alle risorse sulla rete Internet pubblica come parte dei carichi di lavoro di addestramento e inferenza. Tuttavia, questo potrebbe fornire anche un'altra via all'accesso non autorizzato ai dati. Ad esempio, un utente malintenzionato o il codice installato accidentalmente nel container (sotto forma di una libreria di codice sorgente disponibile pubblicamente) possono accedere ai dati e trasferirli a un host remoto.

Se utilizzi un Amazon VPC specificando un valore per il parametro VpcConfig quando chiami CreateTrainingJob, CreateHyperParameterTuningJob o CreateModel, puoi proteggere i dati e le risorse gestendo i gruppi di sicurezza e limitando l'accesso a Internet dal tuo VPC. Tuttavia, questo comporta una configurazione di rete aggiuntiva, con conseguenti rischi di errore. Se non desideri che SageMaker AI fornisca l’accesso alla rete esterna ai container di addestramento o inferenza, puoi abilitare l’isolamento di rete.

Isolamento di rete

Puoi abilitare l'isolamento di rete quando crei il processo di addestramento o il modello impostando il valore del parametro EnableNetworkIsolation su True quando chiami CreateTrainingJob, CreateHyperParameterTuningJob o CreateModel.

Nota

L'isolamento di rete è richiesto per l'esecuzione di processi di addestramento e modelli utilizzando le risorse da Marketplace AWS. Per una maggiore sicurezza, le immagini Marketplace AWS vengono eseguite all’interno di un Amazon VPC. Hanno accesso solo ai dati all’interno dei loro file system locali.

Se abiliti l'isolamento di rete, i container non sono in grado di effettuare chiamate di rete in uscita, anche ad altri servizi AWS, ad esempio Amazon S3. Inoltre, nessuna credenziale AWS è resa disponibile all'ambiente di runtime del container. Nel caso di un processo di addestramento con più istanze, il traffico di rete in entrata e in uscita è limitato ai peer di ogni container di addestramento. SageMaker AI esegue ancora operazioni di scaricamento e caricamento su Amazon S3 utilizzando il ruolo di esecuzione di SageMaker AI in modo isolato rispetto al container di addestramento o di inferenza.

I seguenti container SageMaker AI gestiti non supportano l’isolamento di rete perché richiedono l’accesso ad Amazon S3:

Chainer
Apprendimento per rinforzo SageMaker AI

Isolamento di rete con un VPC

L'isolamento di rete può essere utilizzato in combinazione con un VPC. In questo scenario, le operazioni di scaricamento e caricamento dei dati del cliente e degli artefatti del modello vengono instradate tramite la sottorete VPC. Tuttavia, i container di addestramento e inferenza stessi continuano a essere isolati dalla rete e non dispongono dell'accesso ad alcuna risorsa all'interno del VPC o su Internet.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Connessione di un'istanza del notebook in un VPC a risorse esterne

Connessione a SageMaker AI dall’interno del VPC