Einrichtung für die Verwendung von EI - Amazon SageMaker
Einrichten erforderlicher BerechtigungenVerwenden einer benutzerdefinierten VPC zum Herstellen einer Verbindung mit EI

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichtung für die Verwendung von EI

Folgen Sie den Anweisungen in diesem Thema nur, wenn einer der folgenden Punkte auf Sie zutrifft:

  • Sie möchten eine benutzerdefinierte Rolle oder Berechtigungsrichtlinie verwenden.

  • Sie möchten eine VPC für Ihr gehostetes Modell oder Ihre Notebook-Instance verwenden.

Anmerkung

Wenn Sie bereits über eine Ausführungsrolle verfügen, an die die AmazonSageMakerFullAccess verwaltete Richtlinie angehängt ist (dies gilt für jede IAM-Rolle, die Sie erstellen, wenn Sie eine Notebook-Instance, einen Schulungsjob oder ein Modell in der Konsole erstellen) und Sie keine Verbindung zu einem EI-Modell oder einer Notebook-Instance in einer VPC herstellen, müssen Sie keine dieser Änderungen vornehmen, um EI in Amazon verwenden zu können. SageMaker

Einrichten erforderlicher Berechtigungen

Um EI in verwenden zu können SageMaker, muss der Rolle, die Sie zum Öffnen einer Notebook-Instanz oder zum Erstellen eines bereitstellbaren Modells verwenden, eine Richtlinie mit den erforderlichen Berechtigungen zugeordnet sein. Sie können die verwaltete AmazonSageMakerFullAccess-Richtlinie, die die erforderlichen Berechtigungen enthält, an die Rolle anfügen oder eine benutzerdefinierte Richtlinie hinzufügen, die über die erforderlichen Berechtigungen verfügt. Informationen zum Erstellen einer IAM-Rolle finden Sie unter Creating a Role for an AWS Service (Console) im AWS Identity and Access Management Benutzerhandbuch. Informationen zum Anfügen einer Richtlinie an eine Rolle finden Sie unter Hinzufügen und Entfernen von IAM-Richtlinien.

Fügen Sie diese Berechtigungen speziell zum Verbinden von EI in einer IAM-Richtlinie hinzu.

{
    "Effect": "Allow",
    "Action": [
        "elastic-inference:Connect",
        "ec2:DescribeVpcEndpoints"
    ],
    "Resource": "*"
}

Die folgende IAM-Richtlinie enthält die vollständige Liste der erforderlichen Berechtigungen für die Verwendung von EI in. SageMaker

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elastic-inference:Connect",
                "ec2:DescribeVpcEndpoints"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchGetImage",
                "ecr:BatchCheckLayerAvailability",
                "cloudwatch:PutMetricData",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:DeleteAlarms",
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "application-autoscaling:DeleteScalingPolicy",
                "application-autoscaling:DeleteScheduledAction",
                "application-autoscaling:DeregisterScalableTarget",
                "application-autoscaling:DescribeScalableTargets",
                "application-autoscaling:DescribeScalingActivities",
                "application-autoscaling:DescribeScalingPolicies",
                "application-autoscaling:DescribeScheduledActions",
                "application-autoscaling:PutScalingPolicy",
                "application-autoscaling:PutScheduledAction",
                "application-autoscaling:RegisterScalableTarget",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:GetLogEvents",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "s3:ExistingObjectTag/SageMaker": "true"
                }
            }
        },
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "sagemaker.amazonaws.com"
                }
            }
        }
    ]
}

Verwenden einer benutzerdefinierten VPC zum Herstellen einer Verbindung mit EI

Um EI SageMaker in einer VPC zu verwenden, müssen Sie zwei Sicherheitsgruppen erstellen und konfigurieren und einen PrivateLink VPC-Schnittstellenendpunkt einrichten. EI verwendet den VPC-Schnittstellenendpunkt, um mit SageMaker Endpunkten in Ihrer VPC zu kommunizieren. Die Sicherheitsgruppen, die Sie erstellen, werden verwendet, um eine Verbindung mit dem VPC-Schnittstellenendpunkt herzustellen.

Einrichten von Sicherheitsgruppen zum Herstellen einer Verbindung mit EI

Um EI innerhalb einer VPC zu verwenden, müssen Sie zwei Sicherheitsgruppen erstellen:

  • Eine Sicherheitsgruppe zum Steuern des Zugriffs auf den VPC-Schnittstelleendpunkt, den Sie für EI einrichten.

  • Eine Sicherheitsgruppe, die das Aufrufen der ersten Sicherheitsgruppe ermöglicht SageMaker .

So konfigurieren Sie die beiden Sicherheitsgruppen

  1. Erstellen Sie eine Sicherheitsgruppe ohne ausgehende Verbindungen. Diese werden Sie an die VPC-Endpunktschnittstelle anfügen, die Sie im nächsten Abschnitt erstellen.

  2. Erstellen Sie eine zweite Sicherheitsgruppe ohne eingehenden Verbindungen, jedoch mit einer ausgehenden Verbindung zur ersten Sicherheitsgruppe.

  3. Bearbeiten Sie die erste Sicherheitsgruppe so, dass Sie nur eingehende Verbindungen mit der zweiten Sicherheitsgruppe bei allen ausgehenden Verbindungen zulässt.

Weitere Informationen zum Ändern einer VPC-Sicherheitsgruppe finden Sie unter Sicherheitsgruppen für Ihre VPC im Amazon Virtual Private Cloud-Benutzerhandbuch.

Um EI SageMaker in einer benutzerdefinierten VPC zu verwenden, müssen Sie einen VPC-Schnittstellenendpunkt (PrivateLink) für den EI-Service einrichten.

  • Richten Sie einen VPC-Schnittstellenendpunkt (PrivateLink) für den EI ein. Befolgen Sie die Anweisungen unter Erstellen eines Schnittstellenendpunkts. Wählen Sie in der Liste der Services com.amazonaws<region>.elastic-inference.runtime. Stellen Sie sicher, dass Sie für Security group (Sicherheitsgruppe) die erste Sicherheitsgruppe auswählen, die Sie im vorherigen Abschnitt für den Endpunkt erstellt haben.

  • Wenn Sie den Schnittstellenendpunkt einrichten, wählen Sie alle Availability Zones aus, in denen EI verfügbar ist. EI schlägt fehl, wenn Sie nicht mindestens zwei Availability Zones einrichten. Informationen zu VPC-Subnetzen finden Sie unter VPCs und Subnetze.