本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 授予 Inference Recommender 作业访问 Amazon VPC 中资源的权限
**注意**
Inference Recommender 要求您在模型注册表中注册模型。请注意,模型注册表不允许您的模型构件或 Amazon ECR 映像受 VPC 限制。
Inference Recommender 还要求您的示例负载 Amazon S3 对象不受 VPC 限制。对于推理建议作业,您无法创建只允许来自私有 VPC 的请求访问 Amazon S3 存储桶的自定义策略。
要在您的私有 VPC 中指定子网和安全组,请使用 [CreateInferenceRecommendationsJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html)API 的`RecommendationJobVpcConfig`请求参数,或者在 SageMaker AI 控制台中创建推荐任务时指定您的子网和安全组。
Inference Recommender 使用这些信息来创建端点。在配置终端节点时, SageMaker AI 会创建网络接口并将其连接到您的终端节点。网络接口为端点提供与 VPC 的网络连接。以下是您在调用 `CreateInferenceRecommendationsJob` 时将包含的 `VpcConfig` 参数的示例:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
有关配置 Amazon VPC 以用于 Inference Recommender 作业的更多信息,请参阅以下主题。
**Topics**
+ [确保子网拥有足够的 IP 地址](#inference-recommender-vpc-access-subnets)
+ [创建 Amazon S3 VPC 端点](#inference-recommender-vpc-access-endpoint)
+ [将在 Amazon VPC 中运行的 Inference Recommender 作业的权限添加到自定义 IAM 策略](#inference-recommender-vpc-access-permissions)
+ [配置路由表](#inference-recommender-vpc-access-route-tables)
+ [配置 VPC 安全组](#inference-recommender-vpc-access-security-group)
## 确保子网拥有足够的 IP 地址
对于推理建议作业中的每个实例,您的 VPC 子网应至少具有两个私有 IP 地址。有关子网和私有 IP 地址的更多信息,请参阅《Amazon VPC 用户指南》**中的 [Amazon VPC 的工作原理](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4)。
## 创建 Amazon S3 VPC 端点
如果您将 VPC 配置为阻止访问互联网,则 Inference Recommender 无法连接到包含模型的 Amazon S3 存储桶,除非您创建一个允许访问的 VPC 端点。通过创建 VPC 终端节点,您可以允许 SageMaker AI 推理推荐任务访问存储数据和模型工件的存储桶。
要创建 Amazon S3 VPC 端点,请按以下步骤操作:
1. 打开 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/)。
1. 在导航窗格中,选择 **Endpoints (终端节点)**,然后选择 **Create Endpoint (创建终端节点)**。
1. 对于**服务名称**,请搜索 `com.amazonaws.region.s3`,其中 `region` 是您的 VPC 所在区域的名称。
1. 选择**网关类型**。
1. 对于 **VPC**,请选择要用于该终端节点的 VPC。
1. 对于 **Configure route tables**,选择终端节点要使用的路由表。VPC 服务自动将一个路由添加到您选择的每个路由表中,它将任何 Amazon S3 流量传送到新的端点。
1. 对于**策略**,请选择**完全访问**以允许 VPC 中的任何用户或服务完全访问 Amazon S3 服务。
## 将在 Amazon VPC 中运行的 Inference Recommender 作业的权限添加到自定义 IAM 策略
`[ AmazonSageMakerFullAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSageMakerFullAccess)` 托管策略包含相应的权限,您需要具有这些权限才能使用为通过端点访问 Amazon VPC 而配置的模型。这些权限允许 Inference Recommender 创建弹性网络接口并将其附加到在 Amazon VPC 中运行的推理建议作业。如果您使用自己的 IAM 策略,则必须将以下权限添加到该策略,以使用为进行 Amazon VPC 访问配置的模型。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
## 配置路由表
使用终端节点路由表的默认 DNS 设置,以便标准的 Amazon S3 URLs (例如:`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`)解析。如果您不使用默认 DNS 设置,请确保通过配置终端节点路由表来解析用于在推理推荐任务中指定数据位置的。 URLs 有关 VPC 端点路由表的信息,请参阅《Amazon VPC 用户指南》**中的[网关端点路由](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing)。
## 配置 VPC 安全组
在推理建议作业的安全组中,您必须允许与 Amazon S3 VPC 端点和用于推理建议作业的子网 CIDR 范围进行出站通信。有关信息,请参阅《Amazon VPC 用户指南》**中的[安全组规则](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules)和[使用 Amazon VPC 端点控制对服务的访问权限](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html)。