Gewähren Sie Amazon SageMaker Clarify Jobs Zugriff auf Ressourcen in Ihrer Amazon VPC - Amazon SageMaker KI
Einen SageMaker Clarif-Job für Amazon VPC Access konfigurierenKonfigurieren Sie Ihre private Amazon VPC für SageMaker Clarif-Jobs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Gewähren Sie Amazon SageMaker Clarify Jobs Zugriff auf Ressourcen in Ihrer Amazon VPC

Um den Zugriff auf Ihre Daten und SageMaker Clarif-Jobs zu kontrollieren, empfehlen wir Ihnen, eine private Amazon-VPC zu erstellen und diese so zu konfigurieren, dass Ihre Jobs nicht über das öffentliche Internet zugänglich sind. Informationen zum Erstellen und Konfigurieren einer Amazon VPC für die Verarbeitung von Jobs finden Sie unter Geben Sie SageMaker Verarbeitungsaufträgen Zugriff auf Ressourcen in Ihrer Amazon VPC.

In diesem Dokument wird erklärt, wie zusätzliche Amazon VPC-Konfigurationen hinzugefügt werden, die die Anforderungen für Clarif-Jobs SageMaker erfüllen.

Einen SageMaker Clarif-Job für Amazon VPC Access konfigurieren

Sie müssen Subnetze und Sicherheitsgruppen angeben, wenn Sie Ihre private Amazon VPC für SageMaker Clarif-Jobs konfigurieren. Außerdem müssen Sie dafür sorgen, dass der Job bei der Berechnung von Verzerrungsmetriken und Feature-Beiträgen, die zur Erklärung von Modellvorhersagen beitragen, Rückschlüsse aus dem SageMaker KI-Modell ziehen kann.

SageMaker Job klären Amazon VPC Subnetze und Sicherheitsgruppen

Subnetze und Sicherheitsgruppen in Ihrer privaten Amazon VPC können einem SageMaker Clarif-Job auf verschiedene Weise zugewiesen werden, je nachdem, wie Sie den Job erstellen.

  • SageMaker AI-Konsole: Geben Sie diese Informationen an, wenn Sie den Job im SageMaker AI-Dashboard erstellen. Wählen Sie im Menü Verarbeitung die Option Verarbeitungsaufträge und anschließend Verarbeitungsauftrag erstellen. Wählen Sie im Bereich Netzwerk die Option VPC aus und geben Sie die Subnetze und Sicherheitsgruppen mithilfe der Dropdown-Listen an. Stellen Sie sicher, dass die in diesem Bereich angegebene Option zur Netzwerkisolierung ausgeschaltet ist.

  • SageMaker API: Verwenden Sie den NetworkConfig.VpcConfig Anforderungsparameter der CreateProcessingJobAPI, wie im folgenden Beispiel gezeigt:

    "NetworkConfig": {
    "VpcConfig": {
        "Subnets": [
            "subnet-0123456789abcdef0",
            "subnet-0123456789abcdef1",
            "subnet-0123456789abcdef2"
        ],
        "SecurityGroupIds": [
            "sg-0123456789abcdef0"
        ]
    }
}

  • SageMaker Python-SDK: Verwenden Sie den NetworkConfig Parameter der SageMakerClarifyProcessorProcessorAPI oder API, wie im folgenden Beispiel gezeigt:

    from sagemaker.network import NetworkConfig
network_config = NetworkConfig(
    subnets=[
        "subnet-0123456789abcdef0",
        "subnet-0123456789abcdef1",
        "subnet-0123456789abcdef2",
    ],
    security_group_ids=[
        "sg-0123456789abcdef0",
    ],
)

SageMaker KI verwendet die Informationen, um Netzwerkschnittstellen zu erstellen und sie an den SageMaker Clarify-Job anzuhängen. Die Netzwerkschnittstellen bieten einen SageMaker Clarif-Job mit einer Netzwerkverbindung innerhalb Ihrer Amazon VPC, die nicht mit dem öffentlichen Internet verbunden ist. Sie ermöglichen es dem SageMaker Clarif-Job auch, eine Verbindung zu Ressourcen in Ihrer privaten Amazon-VPC herzustellen.

Anmerkung

Die Netzwerkisolationsoption des SageMaker Clarif-Jobs muss ausgeschaltet sein (standardmäßig ist die Option deaktiviert), damit der Clarif-Job mit SageMaker dem Shadow-Endpunkt kommunizieren kann.

Ein Modell von Amazon VPC for Inference konfigurieren

Um Messwerte für Verzerrungen und die Erklärbarkeit nach dem Training zu berechnen, muss der SageMaker Clarif-Job Rückschlüsse aus dem SageMaker KI-Modell ziehen, das durch den model_name Parameter der Analysekonfiguration für den SageMaker Clarif-Verarbeitungsjob spezifiziert wird. Wenn Sie die SageMakerClarifyProcessor API im SageMaker AI Python SDK verwenden, muss der Job alternativ die von der ModelConfigKlasse model_name angegebenen Werte abrufen. Um dies zu erreichen, erstellt der SageMaker Clarify-Job einen kurzlebigen Endpunkt mit dem Modell, der als Shadow-Endpunkt bezeichnet wird, und wendet dann die Amazon VPC-Konfiguration des Modells auf den Shadow-Endpunkt an.

Um Subnetze und Sicherheitsgruppen in Ihrer privaten Amazon VPC für das SageMaker KI-Modell anzugeben, verwenden Sie den VpcConfig Anforderungsparameter der CreateModelAPI oder geben Sie diese Informationen an, wenn Sie das Modell mithilfe des SageMaker KI-Dashboards in der Konsole erstellen. Im Folgenden sehen Sie ein Beispiel des Parameters VpcConfig, den Sie in Ihrem Aufruf zu CreateModel hinzufügen: 

"VpcConfig": {
    "Subnets": [
        "subnet-0123456789abcdef0",
        "subnet-0123456789abcdef1",
        "subnet-0123456789abcdef2"
    ],
    "SecurityGroupIds": [
        "sg-0123456789abcdef0"
    ]
}

Sie können die Anzahl der Instances des Shadow-Endpunkts, die gestartet werden sollen, mit dem initial_instance_count Parameter der Analysekonfiguration für den SageMaker Clarif-Verarbeitungsauftrag angeben. Wenn Sie die SageMakerClarifyProcessor API im SageMaker AI Python SDK verwenden, muss der Job alternativ die von der ModelConfigKlasse instance_count angegebenen Werte abrufen.

Anmerkung

Selbst wenn Sie bei der Erstellung des Shadow-Endpunkts nur eine Instanz anfordern, benötigen Sie mindestens zwei Subnetze in den Modellen ModelConfigin unterschiedlichen Availability Zones. Andernfalls schlägt die Erstellung des Schattenendpunkts mit folgendem Fehler fehl:

ClientError: Fehler beim Hosten des Endpunkts sagemaker-clarify-endpoint-XXX: Fehlgeschlagen. Grund: Es konnten nicht mindestens 2 Availability Zone (n) mit dem angeforderten Instance-Typ YYY gefunden werden, die sich mit SageMaker AI-Subnetzen überschneiden.

Wenn Ihr Modell Modelldateien in Amazon S3 benötigt, muss das Modell Amazon VPC über einen Amazon S3-VPC-Endpunkt verfügen. Weitere Informationen zum Erstellen und Konfigurieren einer Amazon VPC für SageMaker KI-Modelle finden Sie unterGeben Sie SageMaker KI-gehosteten Endpunkten Zugriff auf Ressourcen in Ihrer Amazon VPC.

Konfigurieren Sie Ihre private Amazon VPC für SageMaker Clarif-Jobs

Im Allgemeinen können Sie die Schritte unter Konfiguration Ihrer privaten VPC für die SageMaker Verarbeitung befolgen, um Ihre private Amazon-VPC für SageMaker Clarif-Jobs zu konfigurieren. Hier sind einige Highlights und spezielle Anforderungen für SageMaker Clarif-Jobs.

Verbindung zu Ressourcen außerhalb Ihrer Amazon VPC

Wenn Sie Ihre Amazon VPC so konfigurieren, dass sie keinen öffentlichen Internetzugang hat, ist eine zusätzliche Einrichtung erforderlich, um SageMaker Clarify Jobs Zugriff auf Ressourcen und Services außerhalb Ihrer Amazon VPC zu gewähren. Beispielsweise ist ein Amazon S3 S3-VPC-Endpunkt erforderlich, da ein SageMaker Clarif-Job einen Datensatz aus einem S3-Bucket laden und die Analyseergebnisse in einem S3-Bucket speichern muss. Weitere Informationen finden Sie unter Erstellen eines Amazon S3 VPC-Endpunkts für die Erstellungsanleitung. Wenn ein SageMaker Clarif-Job außerdem Rückschlüsse vom Schattenendpunkt abrufen muss, muss er mehrere weitere AWS Dienste aufrufen.

  • Erstellen Sie einen VPC-Endpunkt für Amazon SageMaker API-Services: Der SageMaker Clarify-Job muss den Amazon SageMaker API-Service aufrufen, um den Schattenendpunkt zu manipulieren oder ein SageMaker KI-Modell für die Amazon VPC-Validierung zu beschreiben. Sie können den Anleitungen im AWS PrivateLink Blog Alle SageMaker Amazon-API-Aufrufe sichern mit folgen, um einen Amazon SageMaker API-VPC-Endpunkt zu erstellen, der es dem Clarif-Job SageMaker ermöglicht, die Serviceanfragen zu tätigen. Beachten Sie, dass der Servicename des Amazon SageMaker API-Service lautetcom.amazonaws.region.sagemaker.api, wobei der Name der Region region steht, in der sich Ihre Amazon VPC befindet.

  • Erstellen Sie einen Amazon SageMaker AI Runtime-VPC-Endpunkt: Der SageMaker Clarify-Job muss den Amazon SageMaker AI-Runtime-Service aufrufen, der die Aufrufe an den Schattenendpunkt weiterleitet. Die Einrichtungsschritte ähneln denen für den Amazon SageMaker API-Service. Beachten Sie, dass der Servicename des Amazon SageMaker AI Runtime-Service lautetcom.amazonaws.region.sagemaker.runtime, wobei der Name der Region region steht, in der sich Ihre Amazon VPC befindet.

Konfigurieren Sie die Amazon VPC-Sicherheitsgruppe

SageMaker Clarify Jobs unterstützen die verteilte Verarbeitung, wenn zwei oder mehr Verarbeitungsinstanzen auf eine der folgenden Arten angegeben werden:

  • SageMaker AI-Konsole: Die Anzahl der Instanzen wird im Bereich „Ressourcenkonfiguration“ des Fensters „Auftragseinstellungen“ auf der Seite „Verarbeitungsjob erstellen“ angegeben.

  • SageMaker API: Die InstanceCount wird angegeben, wenn Sie den Job mit der CreateProcessingJobAPI erstellen.

  • SageMaker Python-SDK: Das instance_count wird bei der Verwendung der SageMakerClarifyProcessorAPI oder der Prozessor-API angegeben.

Bei der verteilten Verarbeitung müssen Sie die Kommunikation zwischen den verschiedenen Instances desselben Verarbeitungsauftrags ermöglichen. Konfigurieren Sie dazu eine Regel für Ihre Sicherheitsgruppe, mit der eingehende Verbindungen zwischen Mitgliedern derselben Sicherheitsgruppe zugelassen werden. Weitere Informationen finden Sie unter Sicherheitsgruppenregeln.