Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Jalankan Kontainer Pelatihan dan Inferensi dalam Mode Bebas Internet

SageMaker Pelatihan AI dan wadah inferensi yang diterapkan diaktifkan internet secara default. Ini memungkinkan kontainer untuk mengakses layanan dan sumber daya eksternal di internet publik sebagai bagian dari beban kerja pelatihan dan inferensi Anda. Namun, ini dapat memberikan jalan untuk akses tidak sah ke data Anda. Misalnya, pengguna atau kode jahat yang tidak sengaja Anda instal di wadah (dalam bentuk pustaka kode sumber yang tersedia untuk umum) dapat mengakses data Anda dan mentransfernya ke host jarak jauh.

Jika Anda menggunakan VPC Amazon dengan menentukan nilai VpcConfig parameter saat menelepon CreateTrainingJob, atau CreateHyperParameterTuningJobCreateModel, Anda dapat melindungi data dan sumber daya Anda dengan mengelola grup keamanan dan membatasi akses internet dari VPC Anda. Namun, ini datang dengan biaya konfigurasi jaringan tambahan, dan memiliki risiko mengkonfigurasi jaringan Anda secara tidak benar. Jika Anda tidak ingin SageMaker AI menyediakan akses jaringan eksternal ke wadah pelatihan atau inferensi Anda, Anda dapat mengaktifkan isolasi jaringan.

Isolasi Jaringan

Anda dapat mengaktifkan isolasi jaringan saat membuat pekerjaan atau model pelatihan dengan menyetel nilai EnableNetworkIsolation parameter True saat Anda menelepon CreateTrainingJob, CreateHyperParameterTuningJob, atau CreateModel.

Saat Anda mengaktifkan isolasi jaringan, wadah pelatihan dan inferensi Anda tidak dapat melakukan panggilan jaringan keluar apa pun ke layanan apa pun, termasuk Amazon S3. Tidak ada AWS kredensyal yang tersedia untuk lingkungan runtime kontainer. Untuk pekerjaan pelatihan dengan beberapa contoh, lalu lintas masuk dan keluar jaringan terbatas pada komunikasi antara rekan-rekan kontainer pelatihan.

SageMaker AI masih menangani semua operasi pengunduhan dan pengunggahan Amazon S3 yang diperlukan menggunakan peran eksekusi SageMaker AI Anda. Ini terjadi terlepas dari wadah pelatihan dan inferensi Anda, memastikan bahwa data pelatihan dan artefak model Anda masih dapat diakses sambil mempertahankan isolasi wadah.

Kontainer SageMaker AI terkelola berikut tidak mendukung isolasi jaringan karena memerlukan akses ke Amazon S3:

Isolasi jaringan dengan VPC

Isolasi jaringan dapat digunakan bersama dengan VPC. Dalam skenario ini, pengunduhan dan pengunggahan data pelanggan dan artefak model dirutekan melalui subnet VPC Anda. Namun, wadah pelatihan dan inferensi itu sendiri terus diisolasi dari jaringan, dan tidak memiliki akses ke sumber daya apa pun di dalam VPC Anda atau di internet.