Gewähren Sie Amazon SageMaker Clarify Jobs Zugriff auf Ressourcen in Ihrem Amazon VPC - Amazon SageMaker
Einen SageMaker Clarif-Job für Amazon VPC Access konfigurierenKonfigurieren Sie Ihr privates Amazon VPC für SageMaker Clarif-Jobs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Gewähren Sie Amazon SageMaker Clarify Jobs Zugriff auf Ressourcen in Ihrem Amazon VPC

Um den Zugriff auf Ihre Daten und SageMaker Clarif-Jobs zu kontrollieren, empfehlen wir Ihnen, ein privates Amazon VPC einzurichten und es so zu konfigurieren, dass Ihre Jobs nicht über das öffentliche Internet zugänglich sind. Informationen zum Erstellen und Konfigurieren eines Amazon VPC für die Verarbeitung von Jobs finden Sie unter Geben Sie SageMaker Verarbeitungsaufträgen Zugriff auf Ressourcen in Ihrem Amazon VPC.

In diesem Dokument wird erklärt, wie Sie zusätzliche VPC Amazon-Konfigurationen hinzufügen, die die Anforderungen für SageMaker Clarif-Jobs erfüllen.

Einen SageMaker Clarif-Job für Amazon VPC Access konfigurieren

Sie müssen Subnetze und Sicherheitsgruppen angeben, wenn Sie Ihre privaten Amazon VPC for SageMaker Clarif-Jobs konfigurieren. Außerdem müssen Sie dafür sorgen, dass der Job bei der Berechnung von Bias-Metriken und Feature-Beiträgen, die zur Erklärung von SageMaker Modellvorhersagen beitragen, Rückschlüsse aus dem Modell zieht.

SageMaker Job klären Amazon VPC Subnetze und Sicherheitsgruppen

Subnetze und Sicherheitsgruppen in Ihrem privaten Amazon VPC können einem SageMaker Clarif-Job auf verschiedene Weise zugewiesen werden, je nachdem, wie Sie den Job erstellen.

  • SageMaker Konsole: Geben Sie diese Informationen an, wenn Sie den Job im SageMakerDashboard erstellen. Wählen Sie im Menü Verarbeitung die Option Verarbeitungsaufträge und anschließend Verarbeitungsauftrag erstellen. Wählen Sie die VPCOption im Bereich Netzwerk aus und geben Sie die Subnetze und Sicherheitsgruppen mithilfe der Dropdownlisten an. Stellen Sie sicher, dass die in diesem Bereich angegebene Option zur Netzwerkisolierung ausgeschaltet ist.

  • SageMaker API: Verwenden Sie den NetworkConfig.VpcConfig Anforderungsparameter von CreateProcessingJobAPI, wie im folgenden Beispiel gezeigt:

    "NetworkConfig": {
    "VpcConfig": {
        "Subnets": [
            "subnet-0123456789abcdef0",
            "subnet-0123456789abcdef1",
            "subnet-0123456789abcdef2"
        ],
        "SecurityGroupIds": [
            "sg-0123456789abcdef0"
        ]
    }
}

  • SageMaker Python SDK: Verwenden Sie den NetworkConfig Parameter SageMakerClarifyProcessorAPIoder ProcessorAPI, wie im folgenden Beispiel gezeigt:

    from sagemaker.network import NetworkConfig
network_config = NetworkConfig(
    subnets=[
        "subnet-0123456789abcdef0",
        "subnet-0123456789abcdef1",
        "subnet-0123456789abcdef2",
    ],
    security_group_ids=[
        "sg-0123456789abcdef0",
    ],
)

SageMaker verwendet die Informationen, um Netzwerkschnittstellen zu erstellen und sie an den SageMaker Clarif-Job anzuhängen. Die Netzwerkschnittstellen bieten einen SageMaker Clarif-Job mit einer Netzwerkverbindung innerhalb Ihres AmazonVPC, die nicht mit dem öffentlichen Internet verbunden ist. Sie ermöglichen es dem SageMaker Clarif-Job auch, eine Verbindung zu Ressourcen in Ihrem privaten Amazon herzustellenVPC.

Anmerkung

Die Netzwerkisolationsoption des SageMaker Clarif-Jobs muss ausgeschaltet sein (standardmäßig ist die Option deaktiviert), damit der Clarif-Job SageMaker mit dem Shadow-Endpunkt kommunizieren kann.

Ein Modell von Amazon VPC for Inference konfigurieren

Um Messwerte für Verzerrungen und die Erklärbarkeit nach dem Training zu berechnen, muss der SageMaker Clarif-Job Rückschlüsse aus dem SageMaker Modell ziehen, das durch den model_name Parameter der Analysekonfiguration für den Clarif-Verarbeitungsjob spezifiziert ist. SageMaker Wenn Sie das SageMakerClarifyProcessor API in SageMaker Python verwendenSDK, muss der Job alternativ das von der ModelConfigKlasse model_name angegebene abrufen. Um dies zu erreichen, erstellt der SageMaker Clarify-Job einen kurzlebigen Endpunkt mit dem Modell, der als Schattenendpunkt bezeichnet wird, und wendet dann die VPC Amazon-Konfiguration des Modells auf den Shadow-Endpunkt an.

Um Subnetze und Sicherheitsgruppen in Ihrem privaten Amazon VPC für das SageMaker Modell anzugeben, verwenden Sie den VpcConfig Anforderungsparameter von CreateModelAPIoder geben Sie diese Informationen an, wenn Sie das Modell mithilfe des SageMaker Dashboards in der Konsole erstellen. Im Folgenden sehen Sie ein Beispiel des Parameters VpcConfig, den Sie in Ihrem Aufruf zu CreateModel hinzufügen: 

"VpcConfig": {
    "Subnets": [
        "subnet-0123456789abcdef0",
        "subnet-0123456789abcdef1",
        "subnet-0123456789abcdef2"
    ],
    "SecurityGroupIds": [
        "sg-0123456789abcdef0"
    ]
}

Mit dem initial_instance_count Parameter der Analysekonfiguration für den Verarbeitungsauftrag SageMaker Clarify können Sie die Anzahl der Instances des Shadow-Endpunkts angeben, die gestartet werden sollen. Wenn Sie das SageMakerClarifyProcessor API in SageMaker Python verwendenSDK, muss der Job alternativ das von der ModelConfigKlasse instance_count angegebene abrufen.

Anmerkung

Selbst wenn Sie bei der Erstellung des Shadow-Endpunkts nur eine Instanz anfordern, benötigen Sie mindestens zwei Subnetze in den Modellen ModelConfigin unterschiedlichen Availability Zones. Andernfalls schlägt die Erstellung des Schattenendpunkts mit folgendem Fehler fehl:

ClientError: Fehler beim Hosten des Endpunkts sagemaker-clarify-endpoint-XXX: Fehlgeschlagen. Grund: Es konnten nicht mindestens 2 Availability Zone (n) mit dem angeforderten Instance-Typ gefunden werdenYYY, die sich mit SageMaker Subnetzen überschneiden.

Wenn Ihr Modell Modelldateien in Amazon S3 benötigt, VPC muss das Modell Amazon über einen Amazon S3 VPC S3-Endpunkt verfügen. Weitere Informationen zum Erstellen und Konfigurieren eines Amazon VPC für SageMaker Modelle finden Sie unterGeben Sie SageMaker gehosteten Endpunkten Zugriff auf Ressourcen in Ihrem Amazon VPC.

Konfigurieren Sie Ihr privates Amazon VPC für SageMaker Clarif-Jobs

Im Allgemeinen können Sie die Schritte unter „Private VPC für die SageMaker Verarbeitung konfigurieren“ befolgen, um Ihre privaten Amazon VPC for Clarif-Jobs SageMaker zu konfigurieren. Hier sind einige Highlights und spezielle Anforderungen für SageMaker Clarif-Jobs.

Connect zu Ressourcen außerhalb Ihres Amazon her VPC

Wenn Sie Ihr Amazon VPC so konfigurieren, dass es keinen öffentlichen Internetzugang hat, sind einige zusätzliche Einstellungen erforderlich, um SageMaker Clarify Jobs Zugriff auf Ressourcen und Dienste außerhalb Ihres Amazon zu gewährenVPC. Beispielsweise ist ein Amazon S3 VPC S3-Endpunkt erforderlich, da ein SageMaker Clarif-Job einen Datensatz aus einem S3-Bucket laden und die Analyseergebnisse in einem S3-Bucket speichern muss. Weitere Informationen finden Sie im Leitfaden zur Erstellung eines Amazon S3 VPC S3-Endpunkts unter Erstellen eines Amazon S3-Endpunkts. Wenn ein SageMaker Clarif-Job außerdem Rückschlüsse vom Schattenendpunkt abrufen muss, muss er mehrere weitere AWS Dienste aufrufen.

  • Erstellen Sie einen SageMaker API VPC Amazon-Serviceendpunkt: SageMaker Der Clarify-Job muss den SageMaker API Amazon-Service aufrufen, um den Schattenendpunkt zu manipulieren oder ein SageMaker Modell für die VPC Amazon-Validierung zu beschreiben. Sie können den Anleitungen im AWS PrivateLink Blog Alle SageMaker API Amazon-Anrufe sichern mit folgen, um einen SageMaker API VPC Amazon-Endpunkt zu erstellen, über den der SageMaker Clarif-Job die Serviceanrufe tätigen kann. Beachten Sie, dass der Servicename von Amazon SageMaker API Service lautetcom.amazonaws.region.sagemaker.api, wobei region ist der Name der Region, in der sich Ihr Amazon VPC befindet.

  • Erstellen Sie einen Amazon SageMaker VPC Runtime-Endpunkt: Der SageMaker Clarify-Job muss den Amazon SageMaker Runtime-Service aufrufen, der die Aufrufe an den Shadow-Endpunkt weiterleitet. Die Einrichtungsschritte ähneln denen für den SageMaker API Amazon-Service. Beachten Sie, dass der Servicename von Amazon SageMaker Runtime Service lautetcom.amazonaws.region.sagemaker.runtime, wobei region ist der Name der Region, in der sich Ihr Amazon VPC befindet.

Konfigurieren Sie die VPC Amazon-Sicherheitsgruppe

SageMaker Clarify Jobs unterstützen die verteilte Verarbeitung, wenn zwei oder mehr Verarbeitungsinstanzen auf eine der folgenden Arten angegeben werden:

  • SageMaker Konsole: Die Anzahl der Instanzen wird im Bereich „Ressourcenkonfiguration“ des Fensters „Auftragseinstellungen“ auf der Seite „Verarbeitungsjob erstellen“ angegeben.

  • SageMaker API: Die InstanceCount wird angegeben, wenn Sie den Job mit dem erstellen CreateProcessingJobAPI.

  • SageMaker Python SDK: Das instance_count wird angegeben, wenn der SageMakerClarifyProcessorAPIoder der Prozessor verwendet wirdAPI.

Bei der verteilten Verarbeitung müssen Sie die Kommunikation zwischen den verschiedenen Instances desselben Verarbeitungsauftrags ermöglichen. Konfigurieren Sie dazu eine Regel für Ihre Sicherheitsgruppe, mit der eingehende Verbindungen zwischen Mitgliedern derselben Sicherheitsgruppe zugelassen werden. Weitere Informationen finden Sie unter Sicherheitsgruppenregeln.