Amazon SageMaker 的这个 Quick Start 部署添加了防护机制,因此您可以在更安全的环境中构建、训练并部署机器学习 (ML) 模型。防护机制是为您的整个 AWS 环境提供持续治理的高级规则。AWS 通过使用 AWS PrivateLink、Amazon CloudWatch、AWS Identity and Access Management (IAM)、AWS Key Management Service (AWS KMS) 和其他原生服务提供额外的安全性。
AWS 托管 Virtual Private Cloud (VPC) 中部署的防护机制和弹性网络接口提供原生 SageMaker 未提供的安全机制和附加功能。它们还可让您通过自己的 VPC 中的 VPC 终端节点接口和 Amazon Simple Storage Service (Amazon S3) 存储桶网关更安全地访问 AWS 服务。
此 Quick Start 由 Brillio 与 AWS 合作开发。
Brillio 是 AWS 合作伙伴。
-
构建内容
-
如何部署
-
费用和许可证
-
构建内容
-
此 Quick Start 可设置以下内容:
- 用于验证 VPC 域名系统 (DNS) 和预置 SageMaker 资源的 AWS Lambda 函数 (SageMakerBuild)。
- 用于触发 SageMakerBuild 函数并传递参数以创建资源的 AWS Service Catalog。
- AWS Identity and Access Management (IAM) 角色,包括:
- 用于访问和启动 Service Catalog 的用户角色。
- 用于提供权限以预置资源的 Service Catalog 启动约束角色。
- 用于根据策略提供对 SageMaker 笔记本的有限访问的 SageMaker 执行角色。
- 在私有资源子网中:
- 用于运行 ML 模型和工作流的 Amazon SageMaker。
- 用于向 SageMaker 笔记本共享公共模块的 Amazon Elastic File System (Amazon EFS)。
- 在私有弹性网络接口 (ENI) 子网中,SageMaker 与以下 AWS 服务通信所用的接口节点:
- 用于实时监控 SageMaker 环境的 Amazon CloudWatch。
- 用于存储最新的 ML 模型镜像以供将来部署的使用 ECR 策略的 Amazon Elastic Container Registry (Amazon ECR)。
- 用于提供对 IAM 角色的访问以便在其他 AWS 服务上执行操作的 AWS Security Token Service (AWS STS)。
- 用于存储和检索 ML 数据和存储桶策略以限制存储桶访问的 Amazon S3 网关端点,可以访问 S3 存储桶。
- 用于训练模型和 SageMaker 模型构件,用作数据存储的专用 S3 存储桶。
- AWS PrivateLink、Amazon CloudWatch、AWS IAM、AWS Key Management Service (AWS KMS) 和 AWS 上提供增强安全性的其他原生服务。
-
如何部署
-
要部署带防护机制的 SageMaker,请按照部署指南中的说明操作。部署过程大约需要 5 分钟,包括以下步骤:
- 如果您还没有 AWS 账户,请在 https://aws.amazon.com 上注册,并登录您的账户。
- 启动 Quick Start,从以下选项中选择:
- 测试部署。
Amazon 可能会跟与 AWS 合作打造此解决方案的 AWS 合作伙伴共享用户部署信息。
-
费用和许可证
-
您需要支付在运行此 Quick Start 期间使用 AWS 服务和任何付费的第三方许可证所产生的费用。使用此 Quick Start 无需额外付费。
此 Quick Start 的 AWS CloudFormation 模板包括可自定义的配置参数,其中一些设置(如实例类型)会影响部署成本。有关成本估算信息,请参阅您使用的每种 AWS 服务的定价页面。价格可能随时变动。
提示:部署 Quick Start 后,您可以启用 AWS 成本和使用情况报告。此报告会将账单指标发送至您账户中的 S3 存储桶。它根据每个月的使用情况提供成本估算,并在月末最终敲定数据。有关该报告的更多信息,请参阅什么是 AWS 成本和使用情况报告?
