Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Berikan Akses Pekerjaan Kompilasi SageMaker AI ke Sumber Daya di VPC Amazon Anda
**catatan**
Untuk pekerjaan kompilasi, Anda hanya dapat mengonfigurasi subnet dengan VPC penyewaan default di mana pekerjaan Anda berjalan pada perangkat keras bersama. Untuk informasi selengkapnya tentang atribut tenancy VPCs, lihat [Instans Khusus](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).
## Konfigurasikan Pekerjaan Kompilasi untuk Akses VPC Amazon
Untuk menentukan subnet dan grup keamanan di VPC pribadi Anda, gunakan `VpcConfig` parameter permintaan API, atau berikan informasi ini saat Anda membuat pekerjaan kompilasi di konsol AI SageMaker . [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html) SageMaker AI Neo menggunakan informasi ini untuk membuat antarmuka jaringan dan melampirkannya ke pekerjaan kompilasi Anda. Antarmuka jaringan menyediakan pekerjaan kompilasi dengan koneksi jaringan dalam VPC Anda yang tidak terhubung ke internet. Mereka juga memungkinkan pekerjaan kompilasi Anda untuk terhubung ke sumber daya di VPC pribadi Anda. Berikut ini adalah contoh `VpcConfig` parameter yang Anda sertakan dalam panggilan Anda ke`CreateCompilationJob`:
```
VpcConfig: {"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Konfigurasikan VPC Pribadi Anda untuk SageMaker Kompilasi AI
Saat mengonfigurasi VPC pribadi untuk pekerjaan kompilasi AI SageMaker Anda, gunakan panduan berikut. Untuk informasi tentang cara menyiapkan VPC, lihat [Bekerja dengan VPCs dan Subnet](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) di Panduan Pengguna Amazon *VPC*.
**Topics**
+ [Pastikan Subnet Memiliki Alamat IP yang Cukup](#neo-vpc-ip)
+ [Buat Endpoint VPC Amazon S3](#neo-vpc-s3)
+ [Gunakan Kebijakan Endpoint Kustom untuk Membatasi Akses ke S3](#neo-vpc-policy)
+ [Konfigurasikan Tabel Rute](#neo-vpc-route-table)
+ [Konfigurasikan Grup Keamanan VPC](#neo-vpc-groups)
### Pastikan Subnet Memiliki Alamat IP yang Cukup
Subnet VPC Anda harus memiliki setidaknya dua alamat IP pribadi untuk setiap instance dalam pekerjaan kompilasi. Untuk informasi selengkapnya, lihat [Ukuran VPC dan Subnet di Panduan Pengguna IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) Amazon *VPC*.
### Buat Endpoint VPC Amazon S3
Jika Anda mengonfigurasi VPC untuk memblokir akses ke internet, SageMaker Neo tidak dapat terhubung ke bucket Amazon S3 yang berisi model Anda kecuali Anda membuat titik akhir VPC yang memungkinkan akses. Dengan membuat titik akhir VPC, Anda mengizinkan pekerjaan kompilasi SageMaker Neo Anda untuk mengakses bucket tempat Anda menyimpan data dan artefak model. Kami menyarankan Anda juga membuat kebijakan khusus yang hanya mengizinkan permintaan dari VPC pribadi Anda untuk mengakses bucket S3 Anda. Untuk informasi selengkapnya, lihat [Titik Akhir untuk Amazon](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html) S3.
**Untuk membuat titik akhir VPC S3:**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. **Di panel navigasi, pilih **Endpoints, lalu pilih Create Endpoint****
1. Untuk **Nama Layanan**, cari **com.amazonaws. *region*.s3**, di *region* mana nama wilayah tempat VPC Anda berada.
1. Pilih jenis **Gateway**.
1. Untuk **VPC**, pilih VPC yang ingin Anda gunakan untuk titik akhir ini.
1. Untuk **Konfigurasi tabel rute**, pilih tabel rute yang akan digunakan oleh titik akhir. Layanan VPC secara otomatis menambahkan rute ke setiap tabel rute yang Anda pilih yang mengarahkan lalu lintas S3 ke titik akhir baru.
1. Untuk **Kebijakan**, pilih **Akses Penuh** untuk mengizinkan akses penuh ke layanan S3 oleh pengguna atau layanan apa pun dalam VPC. Pilih **Custom** untuk membatasi akses lebih lanjut. Untuk informasi, lihat [Gunakan Kebijakan Endpoint Kustom untuk Membatasi Akses ke S3](train-vpc.md#train-vpc-policy).
### Gunakan Kebijakan Endpoint Kustom untuk Membatasi Akses ke S3
Kebijakan endpoint default memungkinkan akses penuh ke S3 untuk setiap pengguna atau layanan di VPC Anda. Untuk lebih membatasi akses ke S3, buat kebijakan titik akhir kustom. Untuk informasi selengkapnya, lihat [Menggunakan Kebijakan Titik Akhir untuk Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) S3. Anda juga dapat menggunakan kebijakan bucket untuk membatasi akses ke bucket S3 hanya untuk lalu lintas yang berasal dari VPC Amazon Anda. Untuk selengkapnya, lihat [Menggunakan Kebijakan Bucket Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies). Berikut ini adalah contoh kebijakan yang disesuaikan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::your-sample-bucket",
"arn:aws:s3:::your-sample-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": [
"vpce-1a2b3c4d"
]
}
}
}
]
}
```
------
#### Menambahkan Izin untuk Menjalankan Pekerjaan Kompilasi di VPC Amazon ke Kebijakan IAM Kustom
Kebijakan `SageMakerFullAccess` terkelola mencakup izin yang Anda perlukan untuk menggunakan model yang dikonfigurasi untuk akses VPC Amazon dengan titik akhir. Izin ini memungkinkan SageMaker Neo untuk membuat elastic network interface dan melampirkannya ke pekerjaan kompilasi yang berjalan di Amazon VPC. Jika Anda menggunakan kebijakan IAM Anda sendiri, Anda harus menambahkan izin berikut ke kebijakan tersebut untuk menggunakan model yang dikonfigurasi untuk akses VPC Amazon.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
Untuk informasi selengkapnya tentang kebijakan `SageMakerFullAccess` terkelola, lihat[AWS kebijakan terkelola: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
### Konfigurasikan Tabel Rute
Gunakan pengaturan DNS default untuk tabel rute titik akhir Anda, sehingga Amazon URLs S3 standar (misalnya`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`,) teratasi. Jika Anda tidak menggunakan pengaturan DNS default, pastikan URLs bahwa yang Anda gunakan untuk menentukan lokasi data dalam pekerjaan kompilasi Anda diselesaikan dengan mengonfigurasi tabel rute titik akhir. Untuk informasi tentang tabel rute titik akhir VPC, lihat [Perutean untuk Titik Akhir Gateway di Panduan Pengguna](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) *Amazon* VPC.
### Konfigurasikan Grup Keamanan VPC
Di grup keamanan untuk pekerjaan kompilasi, Anda harus mengizinkan komunikasi keluar ke titik akhir Amazon S3 Amazon VPC dan rentang CIDR subnet yang digunakan untuk pekerjaan kompilasi. Untuk selengkapnya, lihat [Aturan Grup Keamanan](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) dan [Kontrol akses ke layanan dengan titik akhir Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html).