Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Offri SageMaker ai lavori di compilazione AI l'accesso alle risorse nel tuo Amazon VPC
**Nota**
Per i processi di compilazione, puoi configurare solo le sottoreti con un VPC con tenancy predefinita in cui il processo viene eseguito su hardware condiviso. [Per ulteriori informazioni sull'attributo tenancy per VPCs, consulta Dedicated Instances.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)
## Configurazione di un processo di compilazione per l'accesso ad Amazon VPC
Per specificare sottoreti e gruppi di sicurezza nel tuo VPC privato, usa il parametro `VpcConfig` request dell'[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html)API o fornisci queste informazioni quando crei un lavoro di compilazione nella console AI. SageMaker SageMaker AI Neo utilizza queste informazioni per creare interfacce di rete e collegarle ai tuoi lavori di compilazione. Le interfacce di rete forniscono processi di compilazione con una connessione di rete all'interno del tuo VPC che non è connesso a Internet. Consentono anche al processo di compilazione di connettersi alle risorse nel tuo VPC privato. Di seguito viene mostrato un esempio del parametro `VpcConfig` che includi nella tua chiamata a `CreateCompilationJob`:
```
VpcConfig: {"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configura il tuo VPC privato per SageMaker la compilazione AI
Quando configuri il VPC privato per i SageMaker tuoi lavori di compilazione AI, utilizza le seguenti linee guida. Per informazioni sulla configurazione di un VPC, consulta [Working with VPCs and Subnet nella](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) Amazon *VPC* User Guide.
**Topics**
+ [Verificare che le sottoreti abbiano abbastanza indirizzi IP](#neo-vpc-ip)
+ [Creazione di un endpoint VPC Amazon S3](#neo-vpc-s3)
+ [Usare una policy di endpoint personalizzata per limitare l'accesso a S3](#neo-vpc-policy)
+ [Configurare le tabelle di routing](#neo-vpc-route-table)
+ [Configurare il gruppo di sicurezza di VPC](#neo-vpc-groups)
### Verificare che le sottoreti abbiano abbastanza indirizzi IP
Le sottoreti del tuo VPC devono avere almeno due indirizzi IP privati per ogni istanza in un processo di compilazione. Per ulteriori informazioni, consulta [VPC and Subnet Sizing nella IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) Amazon *VPC* User Guide.
### Creazione di un endpoint VPC Amazon S3
Se configuri il tuo VPC per bloccare l'accesso a Internet, SageMaker Neo non può connettersi ai bucket Amazon S3 che contengono i tuoi modelli a meno che non crei un endpoint VPC che consenta l'accesso. Creando un endpoint VPC, consenti ai tuoi processi di compilazione SageMaker Neo di accedere ai bucket in cui memorizzi i dati e gli artefatti del modello. Ti consigliamo inoltre di creare una policy personalizzata che consente l'accesso ai tuoi bucket S3 solo alle richieste dal tuo VPC privato. Per ulteriori informazioni, consulta [Endpoints for Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Per creare un endpoint VPC S3**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, selezionare **Endpoints (Endpoint)** e scegliere **Create Endpoint (Crea endpoint)**.
1. **Per **Service Name, cerca com.amazonaws.** *region*.s3**, dove *region* è il nome della regione in cui risiede il tuo VPC.
1. Scegli il tipo di **Gateway**.
1. In **VPC** scegliere il VPC da utilizzare per l'endpoint.
1. In **Configure route tables (Configura tabelle di routing)**, selezionare le tabelle di routing che devono essere utilizzate dall'endpoint. Il servizio VPC aggiunge automaticamente una route a ogni tabella di routing selezionata che indirizza il traffico S3 al nuovo endpoint.
1. In **Policy** scegliere **Full Access (Accesso completo)** per consentire l'accesso completo al servizio S3 da parte degli utenti o servizi all'interno del VPC. Scegliere **Custom (Personalizzato)** per limitare ulteriormente l'accesso. Per informazioni, consulta [Usare una policy di endpoint personalizzata per limitare l'accesso a S3](train-vpc.md#train-vpc-policy).
### Usare una policy di endpoint personalizzata per limitare l'accesso a S3
La policy di endpoint predefinita consente l'accesso completo a S3 da parte degli utenti o servizi nel tuo VPC. Per limitare ulteriormente l'accesso a S3, crea una policy di endpoint personalizzata. Per ulteriori informazioni, consulta [Utilizzo delle policy dell'endpoint per Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Puoi anche possibile utilizzare una policy di bucket per limitare l'accesso ai bucket S3 al solo traffico proveniente dal tuo Amazon VPC. Per ulteriori informazioni, consulta [Utilizzo delle policy bucket Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies). Di seguito è riportata una policy personalizzata di esempio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::your-sample-bucket",
"arn:aws:s3:::your-sample-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": [
"vpce-1a2b3c4d"
]
}
}
}
]
}
```
------
#### Aggiunta a policy IAM personalizzate di autorizzazioni per il processo di compilazione in esecuzione in Amazon VPC
La policy gestita `SageMakerFullAccess` include le autorizzazioni per l'utilizzo di modelli configurati per l'accesso ad Amazon VPC tramite un endpoint. Queste autorizzazioni consentono a SageMaker Neo di creare un'interfaccia di rete elastica e collegarla a un lavoro di compilazione in esecuzione su un Amazon VPC. Se utilizzi la tua policy IAM, per utilizzare i modelli configurati per l'accesso ad Amazon VPC devi aggiungere ad essa le seguenti autorizzazioni.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
Per ulteriori informazioni sulla policy gestita `SageMakerFullAccess`, consultare [AWS politica gestita: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
### Configurare le tabelle di routing
Utilizza le impostazioni DNS predefinite per la tabella di routing degli endpoint, in modo che Amazon URLs S3 standard (ad esempio`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) risolva. Se non utilizzi le impostazioni DNS predefinite, assicurati che quelle utilizzate per specificare le URLs posizioni dei dati nei processi di compilazione si risolvano configurando le tabelle di routing degli endpoint. Per informazioni sulle tabelle di routing di endpoint VPC, consulta [Routing per endpoint gateway](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) nella *Guida per l'utente di Amazon VPC*.
### Configurare il gruppo di sicurezza di VPC
Nel gruppo di sicurezza per il processo di compilazione, devi consentire la comunicazione in uscita verso gli endpoint Amazon VPC di Amazon S3 e gli intervalli CIDR della sottorete utilizzati per il processo di compilazione. Per informazioni, consulta [Regole del gruppo di sicurezza](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) e [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html).