Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Ofrezca a la SageMaker IA acceso a los recursos de su Amazon VPC
SageMaker De forma predeterminada, AI ejecuta los siguientes tipos de trabajo en Amazon Virtual Private Cloud.
+ Procesando
+ Formación
+ Alojamiento de modelos
+ Transformación por lotes
+ Amazon SageMaker Clarify
+ SageMaker Compilación de IA
Sin embargo, los contenedores para estos trabajos acceden a AWS los recursos, como los depósitos de Amazon Simple Storage Service (Amazon S3), donde se almacenan los datos de entrenamiento y se modelan artefactos, a través de Internet.
Para controlar el acceso a sus datos y contenedores de trabajos, se recomienda crear una VPC privada y configurarla de manera que no se pueda obtener acceso a ellos a través de Internet. Para obtener información sobre la creación y configuración de una VPC, consulte [Introducción a Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/getting-started-ipv4.html) en la *Guía del usuario de Amazon VPC*. Usar una VPC ayuda a proteger sus datos y contenedores de trabajos, ya que puede configurar la VPC de manera que no se conecte a Internet. Utilizar una VPC también le permite supervisar todo el tráfico de red dentro y fuera de sus contenedores de trabajos mediante registros de flujo de la VPC. Para obtener más información, consulte [Logs de flujo de VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html) en la *Guía del usuario de Amazon VPC*.
Especifique la configuración privada de la VPC cuando cree trabajos especificando subredes y grupos de seguridad. Al especificar las subredes y los grupos de seguridad, la SageMaker IA crea *interfaces de red elásticas* que se asocian a los grupos de seguridad de una de las subredes. Las interfaces de red elásticas permiten a sus contenedores de trabajos conectarse a los recursos en la VPC. Para obtener más información sobre las interfaces de red, consulte [Interfaces de red elásticas](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ElasticNetworkInterfaces.html) en la *Guía del usuario de Amazon VPC*.
Debe especificar una configuración de VPC dentro del `VpcConfig` objeto de la [CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html)operación u [CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)operación. Al especificar una configuración de VPC al crear un trabajo de entrenamiento, el modelo tiene acceso a recursos de la VPC.
El hecho de especificar una configuración de VPC no cambia la ruta de invocación. Para conectarse a Amazon SageMaker AI dentro de una VPC, cree un punto de enlace de VPC e invoquelo. Para obtener más información, consulte [Conéctese a la SageMaker IA desde su VPC](interface-vpc-endpoint.md).
**Topics**
+ [Ofrezca a los trabajos de procesamiento de SageMaker IA acceso a los recursos de su Amazon VPC](process-vpc.md)
+ [Ofrezca a los trabajos de formación en SageMaker IA acceso a los recursos de su Amazon VPC](train-vpc.md)
+ [Ofrezca a los puntos de conexión alojados en SageMaker IA acceso a los recursos de su Amazon VPC](host-vpc.md)
+ [Conceder acceso a los trabajos de transformación por lotes a los recursos de su Amazon VPC](batch-vpc.md)
+ [Ofrezca a Amazon SageMaker Clarify Jobs acceso a los recursos de su Amazon VPC](clarify-vpc.md)
+ [Ofrezca a los trabajos de compilación de SageMaker IA acceso a los recursos de su Amazon VPC](neo-vpc.md)
+ [Conceder a los trabajos del recomendador de inferencias acceso a los recursos de su Amazon VPC](inference-recommender-vpc-access.md)
# Ofrezca a los trabajos de procesamiento de SageMaker IA acceso a los recursos de su Amazon VPC
Para controlar el acceso a sus datos y trabajos de procesamiento, cree una Amazon VPC con subredes privadas. Para obtener información sobre la creación y configuración de una VPC, consulte [Introducción a Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-getting-started.html) en la *Guía del usuario de Amazon VPC*.
Puede supervisar todo el tráfico de red dentro y fuera de sus contenedores de procesamiento mediante registros de flujo de la VPC. Para obtener más información, consulte [Logs de flujo de VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html) en la *Guía del usuario de Amazon VPC*.
En este documento se explica cómo agregar configuraciones de Amazon VPC para trabajos de procesamiento.
## Configurar un trabajo de procesamiento para el acceso a Amazon VPC
Para configurar el trabajo de procesamiento, especifique las subredes y el grupo de seguridad IDs de la VPC. No es necesario especificar la subred para el contenedor de procesamiento. Amazon SageMaker AI extrae automáticamente el contenedor de procesamiento de Amazon ECR. Para obtener más información sobre los contenedores de procesamiento, consulte [Cargas de trabajo de transformación de datos con procesamiento SageMaker](processing-job.md).
Al crear un trabajo de procesamiento, puede especificar subredes y grupos de seguridad en su VPC mediante la consola de IA o SageMaker la API.
Para usar la API, debe especificar las subredes y el grupo de seguridad IDs en el `NetworkConfig.VpcConfig` parámetro de la operación. [ CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html) SageMaker La IA utiliza los detalles de la subred y el grupo de seguridad para crear las interfaces de red y las conecta a los contenedores de procesamiento. Las interfaces de red proporcionan a sus contenedores de procesamiento una conexión de red en su VPC. Esto permite que el trabajo de procesamiento se conecte a los recursos que existen en la VPC.
A continuación se muestra un ejemplo del parámetro `VpcConfig` incluido en su llamada a la operación `CreateProcessingJob`:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configure su VPC privada para SageMaker el procesamiento de IA
Al configurar la VPC privada para sus trabajos de procesamiento de SageMaker IA, siga las siguientes pautas. Para obtener información sobre la configuración de una VPC, consulte [Trabajo con subredes VPCs y subredes](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) en la Guía del usuario de Amazon *VPC*.
**Topics**
+ [Cómo asegurar que las subredes dispongan de suficientes direcciones IP](#process-vpc-ip)
+ [Creación de un punto de conexión de VPC de Amazon S3](#process-vpc-s3)
+ [Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3](#process-vpc-policy)
+ [Configurar tablas de ruteo](#process-vpc-route-table)
+ [Configurar el grupo de seguridad de la VPC](#process-vpc-groups)
+ [Conexión a recursos fuera de la VPC](#process-vpc-nat)
+ [Supervisa los trabajos SageMaker de procesamiento de Amazon con CloudWatch registros y métricas](#process-vpc-cloudwatch)
### Cómo asegurar que las subredes dispongan de suficientes direcciones IP
Las subredes de la VPC deben disponer de al menos dos direcciones IP privadas para cada instancia en un trabajo de procesamiento. Para obtener más información, consulte [Dimensionamiento de subredes y VPC en la Guía](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) del usuario de IPv4 Amazon *VPC*.
### Creación de un punto de conexión de VPC de Amazon S3
Si configura la VPC de manera que los contenedores de procesamiento no dispongan de acceso a Internet, no se podrán conectar a los buckets de Amazon S3 que contienen sus datos a no ser que cree un punto de conexión de VPC que permita el acceso. Si crea un punto de enlace de la VPC, permite a los contenedores de procesamiento obtener acceso a los buckets en los que almacena los datos. Le recomendamos que también cree una política personalizada que permita solo solicitudes de su VPC privada para obtener acceso a sus buckets de S3. Para obtener más información, consulte [Puntos de enlace para Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Para crear un punto de enlace de la VPC de S3:**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoints (Puntos de enlace)** y, a continuación, elija **Create Endpoint (Crear punto de enlace)**.
1. **Para el **nombre del servicio**, elija com.amazonaws. *region*.s3**, donde *region* es el nombre de la región en la que reside la VPC.
1. En **VPC**, elija la VPC que desea usar para este punto de conexión.
1. En **Configurar tablas de enrutamiento**, seleccione las tablas de enrutamiento que debe usar el punto de conexión. El servicio de VPC añadirá automáticamente una ruta a cada tabla de ruteo que seleccione que dirige cualquier tráfico de S3 al nuevo punto de enlace.
1. En **Policy (Política)**, elija **Full Access (Acceso completo)** para permitir acceso completo al servicio de S3 a cualquier usuario o servicio dentro de la VPC. Elija **Personalizado** para restringir el acceso más. Para obtener información, consulte [Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3](#process-vpc-policy).
### Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3
La política de puntos de enlace predeterminada permite acceso completo a S3 a cualquier usuario o servicio de la VPC. Para restringir aún más el acceso a S3, cree una política de puntos de enlace personalizada. Para obtener más información, consulte [Using Endpoint Policies for Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). También puede utilizar una política de bucket para restringir el acceso a los buckets de S3 a solo el tráfico que proceda de su Amazon VPC. Para obtener más información, consulte [Using Amazon S3 Bucket Policies](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Limitar la instalación de paquetes en el contenedor de procesamiento
La política de punto de enlace predeterminada permite a los usuarios instalar paquetes desde los repositorios de Amazon Linux y Amazon Linux 2 en el contenedor de procesamiento. Si no desea que los usuarios instalen paquetes desde ese repositorio, cree una política de punto de enlace personalizada que deniegue de forma explícita el acceso a los repositorios de Amazon Linux y Amazon Linux 2. A continuación se muestra un ejemplo de una política que deniega el acceso a estos repositorios:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Configurar tablas de ruteo
Utilice la configuración de DNS predeterminada para la tabla de rutas de su punto final, de modo que se resuelva el Amazon S3 estándar URLs (por ejemplo`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`). Si no utiliza la configuración de DNS predeterminada, asegúrese de que la URLs que utiliza para especificar las ubicaciones de los datos en sus trabajos de procesamiento se resuelva configurando las tablas de enrutamiento de los puntos finales. Para obtener información sobre las tablas de enrutamiento de punto de conexión de VPC, consulte [Routing for Gateway Endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) en la *Guía del usuario de Amazon VPC*.
### Configurar el grupo de seguridad de la VPC
En el procesamiento distribuido, debe permitir la comunicación entre distintos contenedores en el mismo trabajo de procesamiento. Para ello, configure una regla para el grupo de seguridad que permita conexiones entrantes entre miembros del mismo grupo de seguridad. Para obtener más información, consulte [Reglas del grupo de seguridad](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
### Conexión a recursos fuera de la VPC
Si va a conectar sus modelos a recursos externos a la VPC en la que se ejecutan, realice una de las siguientes acciones:
+ **Conéctese a otros AWS servicios**: si su modelo necesita acceder a un AWS servicio que admita los puntos de enlace de la interfaz de Amazon VPC, cree un punto de enlace para conectarse a ese servicio. Para obtener una lista de los servicios que admiten los puntos finales de la interfaz, consulte [AWS los servicios que se integran AWS PrivateLink en la Guía](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html) del AWS PrivateLink usuario. Para obtener información sobre la creación de un punto de enlace de VPC de interfaz, consulte [Acceder a un AWS servicio mediante un punto de enlace de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) de interfaz en la Guía del usuario. AWS PrivateLink
+ **Conéctese a los recursos a través de Internet**: si sus modelos se ejecutan en instancias de una Amazon VPC que no tiene una subred con acceso a Internet, los modelos no tendrán acceso a los recursos de Internet. Si su modelo necesita acceder a un AWS servicio que no admite puntos finales de VPC de interfaz o a un recurso externo AWS, asegúrese de ejecutar sus modelos en una subred privada que tenga acceso a Internet mediante una puerta de enlace NAT pública en una subred pública. Una vez que haya ejecutado sus modelos en la subred privada, configure los grupos de seguridad y las listas de control de acceso a la red (NACLs) para permitir las conexiones salientes desde la subred privada a la puerta de enlace NAT pública de la subred pública. Para obtener más información, consulte [Gateways NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html ) en la Guía del usuario de Amazon VPC.
### Supervisa los trabajos SageMaker de procesamiento de Amazon con CloudWatch registros y métricas
Amazon SageMaker AI proporciona CloudWatch registros y métricas de Amazon para supervisar los trabajos de formación. CloudWatch proporciona métricas de CPU, GPU, memoria, memoria de GPU y disco, y registro de eventos. Para obtener más información sobre la supervisión de los trabajos SageMaker de procesamiento de Amazon, consulta [Métricas de Amazon SageMaker AI en Amazon CloudWatch](monitoring-cloudwatch.md) y[SageMaker Métricas de trabajo de IA](monitoring-cloudwatch.md#cloudwatch-metrics-jobs).
# Ofrezca a los trabajos de formación en SageMaker IA acceso a los recursos de su Amazon VPC
**nota**
Para trabajos de capacitación, puede configurar subredes solo con una VPC de tenencia predeterminada en la que la instancia se ejecuta en hardware compartido. Para obtener más información sobre el atributo de arrendamiento VPCs, consulte Instancias [dedicadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).
## Configurar un trabajo de entrenamiento para el acceso a Amazon VPC
Para controlar el acceso a sus trabajos de entrenamiento, ejecútelos en una Amazon VPC con subredes privadas que no tengan acceso a Internet.
Para configurar el trabajo de formación para que se ejecute en la VPC, especifique sus subredes y su grupo de seguridad. IDs No es necesario especificar la subred para el contenedor del trabajo de entrenamiento. Amazon SageMaker AI extrae automáticamente la imagen del contenedor de entrenamiento de Amazon ECR.
Al crear un trabajo de formación, puede especificar las subredes y los grupos de seguridad de su VPC mediante la consola SageMaker Amazon AI o la API.
Para usar la API, debe especificar las subredes y el grupo de seguridad IDs en el `VpcConfig` parámetro de la operación. [ CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) SageMaker La IA usa los detalles de la subred y el grupo de seguridad para crear las interfaces de red y las conecta a los contenedores de entrenamiento. Las interfaces de red proporcionan a sus contenedores de entrenamiento una conexión de red en su VPC. Esto permite que el trabajo de entrenamiento se conecte a los recursos que existen en la VPC.
A continuación se muestra un ejemplo del parámetro `VpcConfig` incluido en su llamada a la operación `CreateTrainingJob`:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configure su VPC privada para SageMaker el entrenamiento de IA
Al configurar la VPC privada para sus trabajos de formación de SageMaker IA, siga las siguientes pautas. Para obtener información sobre la configuración de una VPC, consulte [Trabajo con subredes VPCs y subredes](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) en la Guía del usuario de Amazon *VPC*.
**Topics**
+ [Cómo asegurar que las subredes dispongan de suficientes direcciones IP](#train-vpc-ip)
+ [Creación de un punto de conexión de VPC de Amazon S3](#train-vpc-s3)
+ [Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3](#train-vpc-policy)
+ [Configurar tablas de ruteo](#train-vpc-route-table)
+ [Configurar el grupo de seguridad de la VPC](#train-vpc-groups)
+ [Conexión a recursos fuera de la VPC](#train-vpc-nat)
+ [Supervisa los trabajos SageMaker de formación de Amazon con CloudWatch registros y métricas](#train-vpc-cloudwatch)
### Cómo asegurar que las subredes dispongan de suficientes direcciones IP
Las instancias de entrenamiento que *no usen* un Elastic Fabric Adapter (EFA) deben tener al menos 2 direcciones IP privadas. Las instancias de entrenamiento que utilizan una EFA deben tener al menos 5 direcciones IP privadas. Para obtener más información, consulte [Varias direcciones IP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html) en la Guía del usuario de Amazon EC2.
Las subredes de la VPC deben disponer de al menos dos direcciones IP privadas para cada instancia en un trabajo de capacitación. Para obtener más información, consulte [Dimensionamiento de subredes y VPC en la Guía](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) del usuario de IPv4 Amazon *VPC*.
### Creación de un punto de conexión de VPC de Amazon S3
Si configura la VPC de manera que los contenedores de entrenamiento no dispongan de acceso a Internet, no se podrán conectar a los buckets de Amazon S3 que contienen los datos de entrenamiento a no ser que cree un punto de conexión de VPC que permita el acceso. Si crea un punto de enlace de la VPC, permita a los contenedores de capacitación obtener acceso a los buckets en los que almacena los datos y los artefactos de modelos. Le recomendamos que también cree una política personalizada que permita solo solicitudes de su VPC privada para obtener acceso a sus buckets de S3. Para obtener más información, consulte [Puntos de enlace para Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Para crear un punto de enlace de la VPC de S3:**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoints (Puntos de enlace)** y, a continuación, elija **Create Endpoint (Crear punto de enlace)**.
1. **Para ver el **nombre del servicio**, busque com.amazonaws. *region*.s3**, donde *region* es el nombre de la región en la que reside la VPC.
1. Elija el tipo de **puerta de enlace**.
1. En **VPC**, elija la VPC que desea usar para este punto de conexión.
1. En **Configurar tablas de enrutamiento**, seleccione las tablas de enrutamiento que debe usar el punto de conexión. El servicio de VPC añadirá automáticamente una ruta a cada tabla de ruteo que seleccione que dirige cualquier tráfico de S3 al nuevo punto de enlace.
1. En **Policy (Política)**, elija **Full Access (Acceso completo)** para permitir acceso completo al servicio de S3 a cualquier usuario o servicio dentro de la VPC. Elija **Personalizado** para restringir el acceso más. Para obtener información, consulte [Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3](#train-vpc-policy).
### Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3
La política de puntos de enlace predeterminada permite acceso completo a S3 a cualquier usuario o servicio de la VPC. Para restringir aún más el acceso a S3, cree una política de puntos de enlace personalizada. Para obtener más información, consulte [Using Endpoint Policies for Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). También puede utilizar una política de bucket para restringir el acceso a los buckets de S3 a solo el tráfico que proceda de su Amazon VPC. Para obtener más información, consulte [Using Amazon S3 Bucket Policies](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Restringir la instalación de paquetes en el contenedor de capacitación
La política de punto de enlace predeterminada permite a los usuarios instalar paquetes desde los repositorios de Amazon Linux y Amazon Linux 2 en el paquete de capacitación. Si no desea que los usuarios instalen paquetes desde ese repositorio, cree una política de punto de enlace personalizada que deniegue de forma explícita el acceso a los repositorios de Amazon Linux y Amazon Linux 2. A continuación se muestra un ejemplo de una política que deniega el acceso a estos repositorios:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Configurar tablas de ruteo
Utilice la configuración de DNS predeterminada para la tabla de rutas de su punto final, de modo que se resuelva el Amazon S3 estándar URLs (por ejemplo`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`). Si no utilizas la configuración de DNS predeterminada, asegúrate de que la URLs que utilizas para especificar las ubicaciones de los datos en tus tareas de entrenamiento se resuelva configurando las tablas de rutas de los puntos finales. Para obtener información sobre las tablas de enrutamiento de punto de conexión de VPC, consulte [Routing for Gateway Endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) en la *Guía del usuario de Amazon VPC*.
### Configurar el grupo de seguridad de la VPC
En la capacitación distribuida, debe permitir la comunicación entre distintos contenedores en el mismo trabajo de capacitación. Para ello, configure una regla para el grupo de seguridad que permita conexiones entrantes entre miembros del mismo grupo de seguridad. En el caso de las instancias habilitadas para EFA, asegúrese de que las conexiones entrantes y salientes permitan todo el tráfico del mismo grupo de seguridad. Para obtener más información, consulte [Reglas del grupo de seguridad](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) en la *Guía del usuario de Amazon Virtual Private Cloud*.
### Conexión a recursos fuera de la VPC
Si configura la VPC de manera que no disponga de acceso a Internet, los trabajos de capacitación que usan esa VPC no disponen de acceso a los recursos fuera de la VPC. Si su trabajo de capacitación precisa de acceso a recursos fuera de la VPC, proporcione acceso con una de las siguientes opciones:
+ Si su trabajo de formación necesita acceder a un AWS servicio que admita puntos finales de VPC de interfaz, cree un punto final para conectarse a ese servicio. Para obtener una lista de servicios que admiten puntos de conexión de interfaz, consulte [Puntos de conexión de VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) en la *Guía del usuario de Amazon Virtual Private Cloud*. Para obtener información sobre la creación de un punto de enlace de VPC de interfaz, consulte [Puntos de enlace de VPC de interfaz (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) en la Guía del usuario de *Amazon Virtual Private* Cloud.
+ Si su trabajo de formación necesita acceso a un AWS servicio que no admite puntos finales de VPC de interfaz o a un recurso externo AWS, cree una puerta de enlace NAT y configure sus grupos de seguridad para permitir las conexiones salientes. Para obtener información sobre la configuración de una gateway NAT para su VPC, consulte [Escenario 2: VPC con subredes públicas y privadas (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) en la *Guía del usuario de Amazon Virtual Private Cloud*.
### Supervisa los trabajos SageMaker de formación de Amazon con CloudWatch registros y métricas
Amazon SageMaker AI proporciona CloudWatch registros y métricas de Amazon para supervisar los trabajos de formación. CloudWatch proporciona métricas de CPU, GPU, memoria, memoria de GPU y disco, y registro de eventos. Para obtener más información sobre la supervisión de los trabajos de SageMaker formación de Amazon, consulte [Métricas de Amazon SageMaker AI en Amazon CloudWatch](monitoring-cloudwatch.md) y[SageMaker Métricas de trabajo de IA](monitoring-cloudwatch.md#cloudwatch-metrics-jobs).
# Ofrezca a los puntos de conexión alojados en SageMaker IA acceso a los recursos de su Amazon VPC
## Configurar un modelo para el acceso a Amazon VPC
Para especificar subredes y grupos de seguridad en su VPC privada, utilice `VpcConfig` el parámetro de solicitud de [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)la API o proporcione esta información al crear un modelo en SageMaker la consola de IA. SageMaker La IA utiliza esta información para crear interfaces de red y adjuntarlas a los contenedores de modelos. Las interfaces de red proporcionan a sus contenedores de modelos una conexión de red en su VPC que no está conectada a Internet. También permiten al modelo conectarse a recursos en su VPC privada.
**nota**
Debe crear al menos dos subredes en zonas de disponibilidad distintas en su VPC privada, incluso si solo dispone de una instancia de alojamiento.
A continuación se muestra un ejemplo del parámetro `VpcConfig` incluido en su llamada a `CreateModel`:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configure su VPC privada para SageMaker el alojamiento de IA
Al configurar la VPC privada para sus modelos de SageMaker IA, siga las siguientes pautas. Para obtener información sobre la configuración de una VPC, consulte [Trabajo con subredes VPCs y subredes](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) en la Guía del usuario de Amazon *VPC*.
**Topics**
+ [Cómo asegurar que las subredes dispongan de suficientes direcciones IP](#host-vpc-ip)
+ [Crear un punto de conexión de VPC de Amazon S3](#host-vpc-s3)
+ [Uso de una política de puntos de conexión personalizada para restringir el acceso a Amazon S3](#host-vpc-policy)
+ [Incorporación de permisos para el acceso al punto de conexión de los contenedores que se ejecutan en una VPC a las políticas de IAM personalizadas](#host-vpc-endpoints)
+ [Configurar tablas de ruteo](#host-vpc-route-table)
+ [Conexión a recursos fuera de la VPC](#model-vpc-nat)
### Cómo asegurar que las subredes dispongan de suficientes direcciones IP
Las instancias de entrenamiento que no usen un Elastic Fabric Adapter (EFA) deben tener al menos 2 direcciones IP privadas. Las instancias de entrenamiento que utilizan una EFA deben tener al menos 5 direcciones IP privadas. Para obtener más información, consulte [Varias direcciones IP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html) en la Guía del usuario de Amazon EC2.
### Crear un punto de conexión de VPC de Amazon S3
Si configura la VPC de manera que los contenedores de modelos no dispongan de acceso a Internet, no se podrán conectar a los buckets de Amazon S3 que contienen sus datos a no ser que cree un punto de conexión de VPC que permita el acceso. Si crea un punto de enlace de la VPC, permite a los contenedores de modelo obtener acceso a los buckets en los que almacena los datos y los artefactos de modelos. Le recomendamos que también cree una política personalizada que permita solo solicitudes de su VPC privada para obtener acceso a sus buckets de S3. Para obtener más información, consulte [Puntos de enlace para Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Para crear un punto de conexión de VPC de Amazon S3:**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoints (Puntos de enlace)** y, a continuación, elija **Create Endpoint (Crear punto de enlace)**.
1. **Para el **nombre del servicio**, elija com.amazonaws. *region*.s3**, donde *region* es el nombre de la AWS región en la que reside la VPC.
1. En **VPC**, elija la VPC que desea usar para este punto de enlace.
1. En **Configurar las tablas de enrutamiento**, elija las tablas de enrutamiento que usará el punto de conexión. El servicio de VPC agregará automáticamente una ruta a cada tabla de enrutamiento que elija que dirige el tráfico de Amazon S3 al nuevo punto de conexión.
1. En **Política**, elija **Acceso completo** para permitir acceso completo al servicio de Amazon S3 a cualquier usuario o servicio dentro de la VPC. Para restringir el acceso más, elija **Custom (Personalizado)**. Para obtener más información, consulte [Uso de una política de puntos de conexión personalizada para restringir el acceso a Amazon S3](#host-vpc-policy).
### Uso de una política de puntos de conexión personalizada para restringir el acceso a Amazon S3
La política de puntos de conexión predeterminada permite acceso completo a Amazon Simple Storage Service (Amazon S3) a cualquier usuario o servicio de la VPC. Para restringir aún más el acceso a Amazon S3, cree una política de puntos de conexión personalizada. Para obtener más información, consulte [Using Endpoint Policies for Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3).
También puede utilizar una política de bucket para restringir el acceso a los buckets de S3 a solo el tráfico que proceda de su Amazon VPC. Para obtener más información, consulte [Using Amazon S3 Bucket Policies](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Restricción de la instalación de paquetes en el contenedor de modelos con una política de puntos de enlace personalizada
La política de punto de enlace predeterminada permite a los usuarios instalar paquetes desde los repositorios de Amazon Linux y Amazon Linux 2 en el contenedor de modelos. Si no desea que los usuarios instalen paquetes desde esos repositorios, cree una política de puntos de enlace personalizada que deniegue de forma explícita el acceso a los repositorios de Amazon Linux y Amazon Linux 2. A continuación se muestra un ejemplo de una política que deniega el acceso a estos repositorios:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Incorporación de permisos para el acceso al punto de conexión de los contenedores que se ejecutan en una VPC a las políticas de IAM personalizadas
La política administrada `SageMakerFullAccess` incluye los permisos que necesita para usar modelos configurados para el acceso a Amazon VPC con un punto de conexión. Estos permisos permiten a la SageMaker IA crear una interfaz de red elástica y conectarla a contenedores modelo que se ejecutan en una VPC. Si usa su propia política de IAM, debe agregar los siguientes permisos a esta política para usar modelos configurados para el acceso a VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface"
],
"Resource": "*"
}
]
}
```
------
Para obtener más información sobre la política administrada `SageMakerFullAccess`, consulte [AWS política gestionada: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
### Configurar tablas de ruteo
Utilice la configuración de DNS predeterminada para la tabla de rutas de su punto final, de modo que se resuelva el Amazon S3 estándar URLs (por ejemplo`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`). Si no utiliza la configuración de DNS predeterminada, asegúrese de que la URLs que utiliza para especificar las ubicaciones de los datos en sus modelos se resuelva configurando las tablas de rutas de los puntos finales. Para obtener información sobre las tablas de enrutamiento de punto de conexión de VPC, consulte [Routing for Gateway Endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) en la *Guía del usuario de Amazon VPC*.
### Conexión a recursos fuera de la VPC
Si configura la VPC de manera que no disponga de acceso a Internet, los modelos que usan esa VPC no disponen de acceso a los recursos fuera de la VPC. Si su modelo precisa de acceso a recursos fuera de la VPC, proporcione acceso con una de las siguientes opciones:
+ Si su modelo necesita acceder a un AWS servicio que admita puntos finales de VPC de interfaz, cree un punto final para conectarse a ese servicio. Para obtener una lista de servicios que admiten puntos de conexión de interfaz, consulte [Puntos de conexión de VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) en la *Guía del usuario de Amazon VPC*. *Para obtener información sobre la creación de un punto de enlace de VPC de interfaz, consulte [Puntos de enlace de VPC de interfaz () en la Guía AWS PrivateLink del](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) usuario de Amazon VPC.*
+ Si su modelo necesita acceder a un AWS servicio que no admite puntos finales de VPC de interfaz o a un recurso externo AWS, cree una puerta de enlace NAT y configure sus grupos de seguridad para permitir las conexiones salientes. Para obtener información sobre la configuración de una gateway NAT para su VPC, consulte [Escenario 2: VPC con subredes públicas y privadas (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) en la *Guía del usuario de Amazon Virtual Private Cloud*.
# Conceder acceso a los trabajos de transformación por lotes a los recursos de su Amazon VPC
Para controlar el acceso a sus datos y trabajos de transformación por lotes, se recomienda crear una Amazon VPC privada y configurarla de manera que no se pueda obtener acceso a sus trabajos a través de Internet. Especifique la configuración de la VPC privada cuando cree un modelo especificando subredes y grupos de seguridad. A continuación, especifique el mismo modelo al crear un trabajo de transformación por lotes. Al especificar las subredes y los grupos de seguridad, la SageMaker IA crea *interfaces de red elásticas* que se asocian a los grupos de seguridad de una de las subredes. Las interfaces de red permiten a sus contenedores de modelos conectarse a los recursos en la VPC. Para obtener más información sobre las interfaces de red, consulte [Interfaces de red elásticas](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ElasticNetworkInterfaces.html) en la *Guía del usuario de Amazon VPC*.
En este documento se explica cómo agregar configuraciones de Amazon VPC para trabajos de transformación por lotes.
## Configurar un trabajo de transformación por lotes para el acceso a Amazon VPC
Para especificar subredes y grupos de seguridad en su VPC privada, utilice `VpcConfig` el parámetro de solicitud de [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)la API o proporcione esta información al crear un modelo en SageMaker la consola de IA. A continuación, especifique el mismo modelo en el parámetro de `ModelName` solicitud de la [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html)API o en el campo **Nombre del modelo** al crear un trabajo de transformación en la consola de SageMaker IA. SageMaker La IA utiliza esta información para crear interfaces de red y conectarlas a los contenedores de modelos. Las interfaces de red proporcionan a sus contenedores de modelos una conexión de red en su VPC que no está conectada a Internet. También permiten a su trabajo de transformación conectarse a recursos en su VPC privada.
A continuación se muestra un ejemplo del parámetro `VpcConfig` incluido en su llamada a `CreateModel`:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
Si va a crear un modelo mediante la operación de la API `CreateModel`, el rol de ejecución de IAM que utilice para crear el modelo debe incluir los permisos que se describen en [CreateModel API: permisos de rol de ejecución](sagemaker-roles.md#sagemaker-roles-createmodel-perms), incluidos los siguientes permisos necesarios para una VPC privada.
Al crear un modelo en la consola, si selecciona **Crear un nuevo rol** en la sección **Configuración del modelo**, la [AmazonSageMakerFullAccess ](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess$jsonEditor)política utilizada para crear el rol ya contiene estos permisos. Si selecciona **Especificar el ARN de un rol de IAM personalizado** o **Usar rol existente**, el ARN del rol que especifique debe tener una política de ejecución asociada con los siguientes permisos.
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
```
## Configure su VPC privada para AI SageMaker Batch Transform
Al configurar la VPC privada para sus trabajos de transformación por lotes de SageMaker IA, siga las siguientes pautas. Para obtener información sobre la configuración de una VPC, consulte [Trabajo con subredes VPCs y subredes](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) en la Guía del usuario de Amazon *VPC*.
**Topics**
+ [Cómo asegurar que las subredes dispongan de suficientes direcciones IP](#batch-vpc-ip)
+ [Creación de un punto de conexión de VPC de Amazon S3](#batch-vpc-s3)
+ [Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3](#batch-vpc-policy)
+ [Configurar tablas de ruteo](#batch-vpc-route-table)
+ [Configurar el grupo de seguridad de la VPC](#batch-vpc-groups)
+ [Conexión a recursos fuera de la VPC](#batch-vpc-nat)
### Cómo asegurar que las subredes dispongan de suficientes direcciones IP
Las subredes de VPC deben disponer de al menos dos direcciones IP privadas para cada instancia en un trabajo de transformación. Para obtener más información, consulte [Dimensionamiento de subredes y VPC en la Guía](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) del usuario de IPv4 Amazon *VPC*.
### Creación de un punto de conexión de VPC de Amazon S3
Si configura la VPC de manera que los contenedores de modelos no dispongan de acceso a Internet, no se podrán conectar a los buckets de Amazon S3 que contienen sus datos a no ser que cree un punto de conexión de VPC que permita el acceso. Si crea un punto de enlace de la VPC, permite a los contenedores de modelo obtener acceso a los buckets en los que almacena los datos y los artefactos de modelos. Le recomendamos que también cree una política personalizada que permita solo solicitudes de su VPC privada para obtener acceso a sus buckets de S3. Para obtener más información, consulte [Puntos de enlace para Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Para crear un punto de enlace de la VPC de S3:**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoints (Puntos de enlace)** y, a continuación, elija **Create Endpoint (Crear punto de enlace)**.
1. **Para el **nombre del servicio**, elija com.amazonaws. *region*.s3**, donde *region* es el nombre de la región en la que reside la VPC.
1. En **VPC**, elija la VPC que desea usar para este punto de conexión.
1. En **Configurar tablas de enrutamiento**, seleccione las tablas de enrutamiento que debe usar el punto de conexión. El servicio de VPC añadirá automáticamente una ruta a cada tabla de ruteo que seleccione que dirige cualquier tráfico de S3 al nuevo punto de enlace.
1. En **Policy (Política)**, elija **Full Access (Acceso completo)** para permitir acceso completo al servicio de S3 a cualquier usuario o servicio dentro de la VPC. Elija **Personalizado** para restringir el acceso más. Para obtener información, consulte [Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3](#batch-vpc-policy).
### Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3
La política de puntos de enlace predeterminada permite acceso completo a S3 a cualquier usuario o servicio de la VPC. Para restringir aún más el acceso a S3, cree una política de puntos de enlace personalizada. Para obtener más información, consulte [Using Endpoint Policies for Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). También puede utilizar una política de bucket para restringir el acceso a los buckets de S3 a solo el tráfico que proceda de su Amazon VPC. Para obtener más información, consulte [Using Amazon S3 Bucket Policies](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Restringir la instalación de paquetes en el contenedor de modelos
La política de punto de enlace predeterminada permite a los usuarios instalar paquetes desde los repositorios de Amazon Linux y Amazon Linux 2 en el paquete de capacitación. Si no desea que los usuarios instalen paquetes desde ese repositorio, cree una política de punto de enlace personalizada que deniegue de forma explícita el acceso a los repositorios de Amazon Linux y Amazon Linux 2. A continuación se muestra un ejemplo de una política que deniega el acceso a estos repositorios:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Configurar tablas de ruteo
Utilice la configuración de DNS predeterminada para la tabla de rutas de su punto final, de modo que se resuelva el Amazon S3 estándar URLs (por ejemplo`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`). Si no utiliza la configuración de DNS predeterminada, asegúrese de que la URLs que utiliza para especificar las ubicaciones de los datos en sus trabajos de transformación por lotes se resuelva configurando las tablas de enrutamiento de los puntos finales. Para obtener información sobre las tablas de enrutamiento de punto de conexión de VPC, consulte [Routing for Gateway Endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) en la *Guía del usuario de Amazon VPC*.
### Configurar el grupo de seguridad de la VPC
En la transformación por lotes distribuida, debe permitir la comunicación entre distintos contenedores en el mismo trabajo de transformación por lotes. Para ello, configure una regla para el grupo de seguridad que permita conexiones entrantes y salientes entre miembros del mismo grupo de seguridad. Los miembros del mismo grupo de seguridad deben poder comunicarse entre sí en todos los puertos. Para obtener más información, consulte [Reglas del grupo de seguridad](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
### Conexión a recursos fuera de la VPC
Si configura la VPC de manera que no disponga de acceso a Internet, los trabajos de transformación por lotes que usan esa VPC no disponen de acceso a los recursos fuera de la VPC. Si sus trabajo de transformación por lotes precisa de acceso a recursos fuera de la VPC, proporcione acceso con una de las siguientes opciones:
+ Si su trabajo de transformación por lotes necesita acceder a un AWS servicio que admita puntos finales de VPC de interfaz, cree un punto final para conectarse a ese servicio. Para obtener una lista de servicios que admiten puntos de conexión de interfaz, consulte [Puntos de conexión de VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) en la *Guía del usuario de Amazon VPC*. *Para obtener información sobre la creación de un punto de enlace de VPC de interfaz, consulte [Puntos de enlace de VPC de interfaz () en la Guía AWS PrivateLink del](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) usuario de Amazon VPC.*
+ Si su trabajo de transformación por lotes necesita acceder a un AWS servicio que no sea compatible con los puntos finales de la VPC de la interfaz o a un recurso externo AWS, cree una puerta de enlace NAT y configure los grupos de seguridad para permitir las conexiones salientes. Para obtener información sobre la configuración de una gateway NAT para su VPC, consulte [Escenario 2: VPC con subredes públicas y privadas (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) en la *Guía del usuario de Amazon Virtual Private Cloud*.
# Ofrezca a Amazon SageMaker Clarify Jobs acceso a los recursos de su Amazon VPC
Para controlar el acceso a sus datos y a las SageMaker tareas de Clarify, le recomendamos que cree una Amazon VPC privada y la configure de manera que no se pueda acceder a sus tareas a través de la Internet pública. Para obtener información sobre cómo crear y configurar una Amazon VPC para procesar trabajos, consulte [Dar acceso a los trabajos de SageMaker procesamiento a los recursos de su Amazon VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc).
En este documento se explica cómo añadir configuraciones de Amazon VPC adicionales que cumplan los requisitos de los trabajos de SageMaker Clarify.
**Topics**
+ [Configurar un trabajo de SageMaker Clarify para el acceso a Amazon VPC](#clarify-vpc-config)
+ [Configure su Amazon VPC privada para SageMaker los trabajos de Clarify](#clarify-vpc-vpc)
## Configurar un trabajo de SageMaker Clarify para el acceso a Amazon VPC
Debe especificar las subredes y los grupos de seguridad al configurar su Amazon VPC privada SageMaker para los trabajos de Clarify y permitir que el trabajo obtenga inferencias del modelo de IA al calcular SageMaker las métricas de sesgo posteriores al entrenamiento y las contribuciones de funciones que ayudan a explicar las predicciones del modelo.
**Topics**
+ [SageMaker Clarifique las subredes y grupos de seguridad de Amazon VPC de Job](#clarify-vpc-job)
+ [Configurar un modelo para el acceso a Amazon VPC](#clarify-vpc-model)
### SageMaker Clarifique las subredes y grupos de seguridad de Amazon VPC de Job
Las subredes y los grupos de seguridad de su Amazon VPC privada se pueden asignar a SageMaker un trabajo de Clarify de varias maneras, según cómo se cree el trabajo.
+ **SageMaker Consola de IA**: proporcione esta información cuando cree el trabajo en el panel de **SageMaker IA**. En el menú **Procesamiento**, seleccione **Trabajos de procesamiento** y, a continuación, elija **Crear trabajo de procesamiento**. Seleccione la opción **VPC** en el panel **Red** y proporcione las subredes y los grupos de seguridad mediante las listas desplegables. Asegúrese de que la opción de aislamiento de redes incluida en este panel esté desactivada.
+ **SageMaker API**: usa el parámetro de `NetworkConfig.VpcConfig` solicitud de la [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob)API, como se muestra en el siguiente ejemplo:
```
"NetworkConfig": {
"VpcConfig": {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
}
```
+ **SageMaker SDK de Python**: utilice el `NetworkConfig` parámetro de la [https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor)API o [https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor)API, como se muestra en el siguiente ejemplo:
```
from sagemaker.network import NetworkConfig
network_config = NetworkConfig(
subnets=[
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2",
],
security_group_ids=[
"sg-0123456789abcdef0",
],
)
```
SageMaker La IA usa la información para crear interfaces de red y adjuntarlas al trabajo de SageMaker Clarify. Las interfaces de red proporcionan un trabajo SageMaker de Clarify con una conexión de red dentro de su Amazon VPC que no está conectada a la Internet pública. También permiten que el trabajo de SageMaker Clarify se conecte a los recursos de su Amazon VPC privada.
**nota**
La opción de aislamiento de red del trabajo SageMaker de Clarify debe estar desactivada (de forma predeterminada, la opción está desactivada) para que el trabajo de SageMaker Clarify pueda comunicarse con el punto final oculto.
### Configurar un modelo para el acceso a Amazon VPC
Para calcular las métricas de sesgo y la explicabilidad posteriores al entrenamiento, el trabajo de SageMaker Clarify debe obtener inferencias del modelo de SageMaker IA que se especifica mediante el `model_name` parámetro de la [configuración de análisis](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html#clarify-processing-job-configure-analysis) del trabajo de procesamiento de Clarify. SageMaker Como alternativa, si utilizas la `SageMakerClarifyProcessor` API del SDK de Python para SageMaker IA, el trabajo debe obtener lo `model_name` especificado por la [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig)clase. Para ello, el trabajo SageMaker Clarify crea un punto final efímero con el modelo, conocido como *punto final oculto*, y luego aplica la configuración de Amazon VPC del modelo al punto final oculto.
Para especificar subredes y grupos de seguridad en su Amazon VPC privada para SageMaker el modelo de IA, utilice `VpcConfig` el parámetro de solicitud de [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel)la API o proporcione esta información cuando cree el modelo mediante el panel de IA de SageMaker la consola. A continuación se muestra un ejemplo del parámetro `VpcConfig` incluido en su llamada a `CreateModel`:
```
"VpcConfig": {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
Puede especificar el número de instancias del punto final oculto que se van a lanzar con el `initial_instance_count` parámetro de la [configuración de análisis para el trabajo](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html#clarify-processing-job-configure-analysis) de procesamiento de SageMaker Clarify. Como alternativa, si utilizas la `SageMakerClarifyProcessor` API del SDK de Python para SageMaker IA, el trabajo debe obtener lo `instance_count` especificado por la [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig)clase.
**nota**
Aunque solo solicites una instancia al crear el punto final oculto, necesitarás al menos dos subredes del modelo [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig)en distintas zonas de disponibilidad. De lo contrario, la creación de punto de conexión de sobra produce el siguiente error:
ClientError: Error al alojar el punto final sagemaker-clarify-endpoint-XXX: error. Motivo: no se pueden localizar al menos 2 zonas de disponibilidad con el tipo de instancia solicitado YYY que se superpongan con las subredes de SageMaker IA.
Si su modelo requiere archivos de modelo en Amazon S3, entonces el modelo de Amazon VPC debe tener un punto de conexión de VPC de Amazon S3. Para obtener más información sobre la creación y configuración de una Amazon VPC para modelos de SageMaker IA, consulte. [Ofrezca a los puntos de conexión alojados en SageMaker IA acceso a los recursos de su Amazon VPC](host-vpc.md)
## Configure su Amazon VPC privada para SageMaker los trabajos de Clarify
En general, puede seguir los pasos de [Configurar su VPC privada para su SageMaker procesamiento para configurar su Amazon VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc.html#process-vpc-vpc) privada para los trabajos de Clarify. SageMaker Estos son algunos de los aspectos más destacados y los requisitos especiales de los trabajos de SageMaker Clarify.
**Topics**
+ [Conexión a recursos fuera de su Amazon VPC](#clarify-vpc-nat)
+ [Configurar el grupo de seguridad de su Amazon VPC](#clarify-vpc-security-group)
### Conexión a recursos fuera de su Amazon VPC
Si configura su Amazon VPC para que no tenga acceso público a Internet, necesitará alguna configuración adicional para que SageMaker Clarify Jobs pueda acceder a recursos y servicios externos a su Amazon VPC. Por ejemplo, se necesita un punto de enlace de VPC de Amazon S3 porque un trabajo SageMaker de Clarify necesita cargar un conjunto de datos desde un bucket de S3 y guardar los resultados del análisis en un bucket de S3. Para obtener más información, consulte [Crear un punto de conexión de VPC de Amazon S3](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc.html#process-vpc-s3) para obtener las pautas de creación. Además, si un trabajo SageMaker de Clarify necesita obtener conclusiones del punto final oculto, tendrá que llamar a varios servicios más AWS .
+ **Cree un punto de enlace de VPC del servicio de SageMaker API de Amazon**: el SageMaker trabajo de Clarify debe llamar al servicio de SageMaker API de Amazon para manipular el punto final oculto o describir un modelo de SageMaker IA para la validación de Amazon VPC. Puedes seguir las instrucciones que se proporcionan en el AWS PrivateLink blog [Proteger todas las llamadas a las SageMaker API de Amazon con](https://aws.amazon.com/blogs/machine-learning/securing-all-amazon-sagemaker-api-calls-with-aws-privatelink/) el fin de crear un punto de enlace de VPC de la SageMaker API de Amazon que permita al trabajo de SageMaker Clarify realizar las llamadas de servicio. Tenga en cuenta que el nombre del servicio SageMaker API de Amazon es`com.amazonaws.region.sagemaker.api`, donde *region* es el nombre de la región en la que reside su Amazon VPC.
+ **Cree un punto final de VPC de Amazon SageMaker AI Runtime**: la tarea SageMaker de Clarify debe llamar al servicio Amazon SageMaker AI Runtime, que dirige las invocaciones al punto final oculto. Los pasos de configuración son similares a los del servicio Amazon SageMaker API. Tenga en cuenta que el nombre del servicio Amazon SageMaker AI Runtime es`com.amazonaws.region.sagemaker.runtime`, donde *region* es el nombre de la región en la que reside su Amazon VPC.
### Configurar el grupo de seguridad de su Amazon VPC
SageMaker Los trabajos de Clarify admiten el procesamiento distribuido cuando se especifican dos o más instancias de procesamiento de una de las siguientes maneras:
+ **SageMaker Consola AI**: el **recuento de instancias** se especifica en la parte de **configuración de recursos** del panel de **ajustes del trabajo** de la página **Crear trabajo de procesamiento**.
+ **SageMaker API**: `InstanceCount` se especifica al crear el trabajo con la [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob)API.
+ **SageMaker SDK de Python**: `instance_count` se especifica cuando se utiliza la [SageMakerClarifyProcessor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor)API o la API [del procesador](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor).
En el procesamiento distribuido, debe permitir la comunicación entre distintas instancias en el mismo trabajo de procesamiento. Para ello, configure una regla para el grupo de seguridad que permita conexiones entrantes entre miembros del mismo grupo de seguridad. Para obtener información, consulte [Reglas del grupo de seguridad](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
# Ofrezca a los trabajos de compilación de SageMaker IA acceso a los recursos de su Amazon VPC
**nota**
Para los trabajos de compilación, puede configurar subredes solo con una VPC de tenencia predeterminada en la que la instancia se ejecuta en hardware compartido. Para obtener más información sobre el atributo de arrendamiento VPCs, consulte Instancias [dedicadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).
## Configurar un trabajo de compilación para el acceso a Amazon VPC
Para especificar subredes y grupos de seguridad en su VPC privada, utilice `VpcConfig` el parámetro de solicitud de [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html)la API o proporcione esta información cuando cree un trabajo de compilación en SageMaker la consola de IA. SageMaker AI Neo utiliza esta información para crear interfaces de red y adjuntarlas a tus trabajos de compilación. Las interfaces de red proporcionan trabajos de compilación con una conexión de red dentro de la VPC que no está conectada a Internet. También permiten a su trabajo de compilación conectarse a recursos en su VPC privada. A continuación se muestra un ejemplo del parámetro `VpcConfig` incluido en su llamada a `CreateCompilationJob`:
```
VpcConfig: {"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configure su VPC privada para SageMaker la compilación de IA
Al configurar la VPC privada para sus trabajos de compilación de SageMaker IA, siga las siguientes pautas. Para obtener información sobre la configuración de una VPC, consulte [Trabajo con subredes VPCs y subredes](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) en la Guía del usuario de Amazon *VPC*.
**Topics**
+ [Cómo asegurar que las subredes dispongan de suficientes direcciones IP](#neo-vpc-ip)
+ [Creación de un punto de conexión de VPC de Amazon S3](#neo-vpc-s3)
+ [Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3](#neo-vpc-policy)
+ [Configurar tablas de ruteo](#neo-vpc-route-table)
+ [Configurar el grupo de seguridad de la VPC](#neo-vpc-groups)
### Cómo asegurar que las subredes dispongan de suficientes direcciones IP
Las subredes de VPC deben disponer de al menos dos direcciones IP privadas para cada instancia en un trabajo de compilación. Para obtener más información, consulte [Dimensionamiento de subredes y VPC en la Guía](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) del usuario de IPv4 Amazon *VPC*.
### Creación de un punto de conexión de VPC de Amazon S3
Si configura su VPC para bloquear el acceso a Internet, SageMaker Neo no podrá conectarse a los buckets de Amazon S3 que contienen sus modelos a menos que cree un punto de enlace de VPC que permita el acceso. Al crear un punto final de VPC, permite que sus trabajos de compilación de SageMaker Neo accedan a los depósitos en los que almacena sus datos y modela los artefactos. Le recomendamos que también cree una política personalizada que permita solo solicitudes de su VPC privada para obtener acceso a sus buckets de S3. Para obtener más información, consulte [Puntos de enlace para Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Para crear un punto de enlace de la VPC de S3:**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoints (Puntos de enlace)** y, a continuación, elija **Create Endpoint (Crear punto de enlace)**.
1. **Para el **nombre del servicio**, busca com.amazonaws. *region*.s3**, donde *region* es el nombre de la región en la que reside la VPC.
1. Elija el tipo de **puerta de enlace**.
1. En **VPC**, elija la VPC que desea usar para este punto de conexión.
1. En **Configurar tablas de enrutamiento**, seleccione las tablas de enrutamiento que debe usar el punto de conexión. El servicio de VPC añadirá automáticamente una ruta a cada tabla de ruteo que seleccione que dirige cualquier tráfico de S3 al nuevo punto de enlace.
1. En **Policy (Política)**, elija **Full Access (Acceso completo)** para permitir acceso completo al servicio de S3 a cualquier usuario o servicio dentro de la VPC. Elija **Personalizado** para restringir el acceso más. Para obtener información, consulte [Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3](train-vpc.md#train-vpc-policy).
### Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3
La política de puntos de enlace predeterminada permite acceso completo a S3 a cualquier usuario o servicio de la VPC. Para restringir aún más el acceso a S3, cree una política de puntos de enlace personalizada. Para obtener más información, consulte [Using Endpoint Policies for Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). También puede utilizar una política de bucket para restringir el acceso a los buckets de S3 a solo el tráfico que proceda de su Amazon VPC. Para obtener más información, consulte [Using Amazon S3 Bucket Policies](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies). La siguiente es una política personalizada de ejemplo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::your-sample-bucket",
"arn:aws:s3:::your-sample-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": [
"vpce-1a2b3c4d"
]
}
}
}
]
}
```
------
#### Agregar permisos para la ejecución de un trabajo de compilación en una Amazon VPC a las políticas de IAM personalizadas
La política administrada `SageMakerFullAccess` incluye los permisos que necesita para usar modelos configurados para el acceso a Amazon VPC con un punto de conexión. Estos permisos permiten a SageMaker Neo crear una interfaz de red elástica y adjuntarla a un trabajo de compilación que se ejecuta en una Amazon VPC. Si usa su propia política de IAM, debe agregar los siguientes permisos a esa política para usar modelos configurados para el acceso a Amazon VPC.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
Para obtener más información sobre la política administrada `SageMakerFullAccess`, consulte [AWS política gestionada: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
### Configurar tablas de ruteo
Utilice la configuración de DNS predeterminada para la tabla de rutas de su punto final, de modo que se resuelva el Amazon S3 estándar URLs (por ejemplo`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`). Si no utiliza la configuración de DNS predeterminada, asegúrese de que la URLs que utiliza para especificar las ubicaciones de los datos en sus trabajos de compilación se resuelva configurando las tablas de rutas de los puntos finales. Para obtener información sobre las tablas de enrutamiento de punto de conexión de VPC, consulte [Routing for Gateway Endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) en la *Guía del usuario de Amazon VPC*.
### Configurar el grupo de seguridad de la VPC
En su grupo de seguridad para el trabajo de compilación, debe permitir la comunicación saliente con los puntos de conexión de Amazon VPC de Amazon S3 y los rangos de CIDR de subred utilizados para el trabajo de compilación. Para obtener más información, consulte [Reglas del grupo de seguridad](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) y [Control access to services with Amazon VPC endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html).
# Conceder a los trabajos del recomendador de inferencias acceso a los recursos de su Amazon VPC
**nota**
El recomendador de inferencias requiere que registre su modelo en el registro de modelos. Tenga en cuenta que el registro de modelos no permite que los artefactos de su modelo o la imagen de Amazon ECR estén restringidos por VPC.
El recomendador de inferencias también exige que su objeto de Amazon S3 de carga de muestra no esté restringido por VPC. Se recomienda crear también una política personalizada que permita solo a las solicitudes de su VPC privada obtener acceso a sus buckets de S3.
Para especificar subredes y grupos de seguridad en su VPC privada, utilice `RecommendationJobVpcConfig` el parámetro de solicitud de la API o especifique [CreateInferenceRecommendationsJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html)las subredes y los grupos de seguridad al crear un trabajo de recomendación en SageMaker la consola de IA.
El recomendador de inferencias utiliza esta información para crear puntos de conexión. Al aprovisionar los puntos de conexión, la SageMaker IA crea interfaces de red y las conecta a los puntos de conexión. Las interfaces de red proporcionan a sus puntos de conexión una conexión de red a su VPC. A continuación se muestra un ejemplo del parámetro `VpcConfig` incluido en una llamada a `CreateInferenceRecommendationsJob`:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
Consulte los siguientes temas para obtener más información sobre cómo configurar su Amazon VPC para su uso con trabajos del recomendador de inferencias.
**Topics**
+ [Garantía de que las subredes disponen de direcciones IP suficientes](#inference-recommender-vpc-access-subnets)
+ [Crear un punto de conexión de VPC de Amazon S3](#inference-recommender-vpc-access-endpoint)
+ [Agregar permisos para trabajos del recomendador de inferencias que se ejecutan en una Amazon VPC a las políticas de IAM personalizadas](#inference-recommender-vpc-access-permissions)
+ [Configurar tablas de enrutamiento](#inference-recommender-vpc-access-route-tables)
+ [Configurar el grupo de seguridad de la VPC](#inference-recommender-vpc-access-security-group)
## Garantía de que las subredes disponen de direcciones IP suficientes
Las subredes de VPC deben disponer de al menos dos direcciones IP privadas para cada instancia en un trabajo del recomendador de inferencias. Para obtener más información sobre las subredes y las direcciones IP privadas, consulte [Cómo funciona Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) en la *Guía del usuario de Amazon VPC*.
## Crear un punto de conexión de VPC de Amazon S3
Si configura la VPC para bloquear el acceso a Internet, el recomendador de inferencias no se podrá conectar a los buckets de Amazon S3 que contienen sus modelos a no ser que cree un punto de conexión de VPC que permita el acceso. Al crear un punto final de VPC, permite que sus trabajos de recomendación de inferencias de SageMaker IA accedan a los depósitos en los que almacena sus datos y modela los artefactos.
Para crear un punto de conexión de VPC de Amazon S3, utilice el siguiente procedimiento:
1. Abra la [Consola de Amazon VPC](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoints (Puntos de enlace)** y, a continuación, elija **Create Endpoint (Crear punto de enlace)**.
1. En **Nombre del servicio**, busque, `com.amazonaws.region.s3` donde `region` es el nombre de la región donde reside la VPC.
1. Elija el **Tipo de puerta de enlace**.
1. En **VPC**, elija la VPC que desea usar para este punto de conexión.
1. En **Configurar tablas de enrutamiento**, seleccione las tablas de enrutamiento que debe usar el punto de conexión. El servicio de VPC agregará automáticamente una ruta a cada tabla de enrutamiento que seleccione que dirige el tráfico de Amazon S3 al nuevo punto de conexión.
1. En **Política**, elija **Acceso completo** para permitir acceso completo al servicio de Amazon S3 a cualquier usuario o servicio dentro de la VPC.
## Agregar permisos para trabajos del recomendador de inferencias que se ejecutan en una Amazon VPC a las políticas de IAM personalizadas
La política administrada `[ AmazonSageMakerFullAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSageMakerFullAccess)` incluye los permisos que necesita para usar modelos configurados para el acceso a Amazon VPC con un punto de conexión. Estos permisos permiten al recomendador de inferencias crear una interfaz de red elástica y asociarla al trabajo de recomendación de inferencias que se ejecuta en una Amazon VPC. Si usa su propia política de IAM, debe agregar los siguientes permisos a esa política para usar modelos configurados para el acceso a Amazon VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
## Configurar tablas de enrutamiento
Utilice la configuración de DNS predeterminada para la tabla de rutas de su punto final, de modo que se resuelva Amazon S3 estándar URLs (por ejemplo:`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`). Si no utiliza la configuración de DNS predeterminada, asegúrese de que la URLs que utiliza para especificar las ubicaciones de los datos en sus trabajos de recomendación de inferencia se resuelva configurando las tablas de rutas de los puntos finales. Para obtener información sobre las tablas de enrutamiento de punto de conexión de VPC, consulte [Routing gateway endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) en la *Guía del usuario de Amazon VPC*.
## Configurar el grupo de seguridad de la VPC
En su grupo de seguridad para el trabajo de recomendación de inferencias, debe permitir la comunicación saliente con los puntos de conexión de VPC de Amazon S3 y los rangos de CIDR de subred utilizados para el trabajo de recomendación de inferencias. Para obtener más información, consulte [Reglas del grupo de seguridad](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) y [Control access to services with Amazon VPC endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html) en la *Guía del usuario de Amazon VPC*.