Donnez à Batch Transform Jobs l'accès aux ressources de votre Amazon VPC - Amazon SageMaker
Configuration d'une tâche de transformation par lots pour Amazon VPC AccessConfigurez votre mode privé VPC pour SageMaker Batch Transform

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Donnez à Batch Transform Jobs l'accès aux ressources de votre Amazon VPC

Pour contrôler l'accès à vos données et les tâches de transformation par lots, nous vous recommandons de créer un Amazon privé VPC et de le configurer de manière à ce que vos tâches ne soient pas accessibles sur Internet public. Vous spécifiez votre VPC configuration privée lorsque vous créez un modèle en spécifiant des sous-réseaux et des groupes de sécurité. Ensuite, vous spécifiez le même modèle lorsque vous créez une tâche de transformation par lots. Lorsque vous spécifiez les sous-réseaux et les groupes de sécurité, vous SageMaker créez des interfaces réseau élastiques associées à vos groupes de sécurité dans l'un des sous-réseaux. Les interfaces réseau permettent à vos modèles de conteneurs de se connecter aux ressources de votreVPC. Pour plus d'informations sur les interfaces réseau, consultez Elastic Network Interfaces dans le guide de VPC l'utilisateur Amazon.

Ce document explique comment ajouter des VPC configurations Amazon pour les tâches de transformation par lots.

Configuration d'une tâche de transformation par lots pour Amazon VPC Access

Pour spécifier des sous-réseaux et des groupes de sécurité dans votre VPC espace privé, utilisez le paramètre de VpcConfig requête du CreateModelAPI, ou fournissez ces informations lorsque vous créez un modèle dans la SageMaker console. Spécifiez ensuite le même modèle dans le paramètre de ModelName requête du CreateTransformJobAPIou dans le champ Nom du modèle lorsque vous créez une tâche de transformation dans la SageMaker console. SageMaker utilise ces informations pour créer des interfaces réseau et les associer à vos modèles de conteneurs. Les interfaces réseau fournissent à vos modèles de conteneurs une connexion réseau au sein de votre VPC ordinateur qui n'est pas connectée à Internet. Ils permettent également à votre travail de transformation de se connecter à des ressources privéesVPC.

Voici un exemple du paramètre VpcConfig que vous incluez dans votre appel à CreateModel :

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

Si vous créez un modèle à l'aide de cette CreateModel API opération, le rôle IAM d'exécution que vous utilisez pour créer votre modèle doit inclure les autorisations décrites dansCreateModel API: Autorisations relatives aux rôles d'exécution, y compris les autorisations suivantes requises pour un privéVPC.

Lorsque vous créez un modèle dans la console, si vous sélectionnez Créer un nouveau rôle dans la section Paramètres du modèle, la AmazonSageMakerFullAccess politique utilisée pour créer le rôle contient déjà ces autorisations. Si vous sélectionnez Entrer un IAM rôle personnalisé ARN ou Utiliser un rôle existant, le rôle ARN que vous spécifiez doit être associé à une politique d'exécution assortie des autorisations suivantes. 

{
            "Effect": "Allow",
            "Action": [
            "ec2:CreateNetworkInterface",
            "ec2:CreateNetworkInterfacePermission",
            "ec2:DeleteNetworkInterface",
            "ec2:DeleteNetworkInterfacePermission",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeVpcs",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeSubnets",
            "ec2:DescribeSecurityGroups"

Configurez votre mode privé VPC pour SageMaker Batch Transform

Lorsque vous configurez le mode privé VPC pour vos tâches de transformation SageMaker par lots, suivez les instructions suivantes. Pour plus d'informations sur la configuration d'unVPC, consultez la section Utilisation des sous-réseaux VPCs et des sous-réseaux dans le guide de VPC l'utilisateur Amazon.

S'assurer que les sous-réseaux ont suffisamment d'adresses IP

Vos VPC sous-réseaux doivent avoir au moins deux adresses IP privées pour chaque instance d'une tâche de transformation. Pour plus d'informations, consultez la section VPCrelative au dimensionnement des sous-réseaux IPv4 dans le guide de VPCl'utilisateur Amazon.

Création d'un point de VPC terminaison Amazon S3

Si vous configurez votre modèle de VPC manière à ce que les conteneurs modèles n'aient pas accès à Internet, ils ne peuvent pas se connecter aux compartiments Amazon S3 contenant vos données, sauf si vous créez un VPC point de terminaison autorisant l'accès. En créant un VPC point de terminaison, vous autorisez vos conteneurs de modèles à accéder aux compartiments dans lesquels vous stockez vos données et vos artefacts de modèle. Nous vous recommandons également de créer une politique personnalisée qui autorise uniquement les demandes provenant de votre compte privé VPC à accéder à vos compartiments S3. Pour plus d’informations, consultez Points de terminaison pour Amazon S3.

Pour créer un point de VPC terminaison S3 :

  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Endpoints (Points de terminaison), puis Create Endpoint (Créer un point de terminaison).

  3. Pour Nom du service, choisissez com.amazonaws.region.s3, où region est le nom de la région dans laquelle vous VPC résidez.

  4. Pour VPC, choisissez celui que VPC vous souhaitez utiliser pour ce point de terminaison.

  5. Pour Configurer les tables de routage, sélectionnez les tables de routage à utiliser par le point de terminaison. Le VPC service ajoute automatiquement un itinéraire à chaque table de routage que vous sélectionnez qui oriente tout trafic S3 vers le nouveau point de terminaison.

  6. Pour Policy, choisissez Accès complet pour autoriser l'accès complet au service S3 à tout utilisateur ou service au sein duVPC. Choisissez Personnalisé pour restreindre l’accès davantage. Pour plus d’informations, veuillez consulter Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3.

Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3

La politique de point de terminaison par défaut permet un accès complet à S3 pour tous les utilisateurs ou services de votre entrepriseVPC. Pour limiter l'accès à S3, créez une politique de point de terminaison personnalisé. Pour de plus amples informations, veuillez consulter Utilisation des politiques de point de terminaison pour Amazon S3. Vous pouvez également utiliser une politique de compartiment pour restreindre l'accès à vos compartiments S3 uniquement au trafic provenant de votre AmazonVPC. Pour obtenir des informations, veuillez consulter Utilisation de politiques de compartiment Amazon S3.

Restreindre l'installation de packages sur le conteneur de modèles

La politique de point de terminaison par défaut permet aux utilisateurs d'installer des packages à partir des référentiels Amazon Linux et Amazon Linux 2 sur le conteneur d'entraînement. Si vous ne voulez pas que les utilisateurs installent des packages à partir de ce référentiel, créez une politique de point de terminaison personnalisée qui refuse explicitement l'accès aux référentiels Amazon Linux et Amazon Linux 2. Voici un exemple de politique qui refuse l'accès à ces référentiels :

{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

Configuration des tables de routage

Utilisez DNS les paramètres par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemplehttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) soit résolu. Si vous n'utilisez pas DNS les paramètres par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos tâches de transformation par lots sont résolus en configurant les tables de routage des points de terminaison. Pour plus d'informations sur les tables de routage des points de VPC terminaison, consultez la section Routing for Gateway Endpoints dans le guide de VPC l'utilisateur Amazon.

Configuration du groupe VPC de sécurité

Dans une transformation par lots distribuée, vous devez autoriser la communication entre les différents conteneurs d'une même tâche de transformation. Pour ce faire, configurez une règle pour votre groupe de sécurité qui autorise les connexions entrantes et sortantes entre les membres d'un même groupe de sécurité. Les membres d'un même groupe de sécurité doivent pouvoir communiquer entre eux sur tous les ports. Pour de plus amples informations, veuillez consulter Règles des groupes de sécurité.

Connectez-vous à des ressources extérieures à votre VPC

Si vous configurez votre ordinateur de VPC manière à ce qu'il n'ait pas accès à Internet, transformez par lots les tâches qui l'utilisent et qui VPC n'ont pas accès à des ressources extérieures à votre compteVPC. Si votre tâche de transformation par lots nécessite l'accès à des ressources extérieures à la vôtreVPC, accordez cet accès à l'aide de l'une des options suivantes :

  • Si votre tâche de transformation par lots nécessite l'accès à un AWS service prenant en charge les VPC points de terminaison d'interface, créez un point de terminaison pour vous connecter à ce service. Pour obtenir la liste des services qui prennent en charge les points de terminaison d'interface, consultez la section VPCEndpoints dans le guide de VPCl'utilisateur Amazon. Pour plus d'informations sur la création d'un point de VPC terminaison d'interface, consultez Interface VPC Endpoints (AWS PrivateLink) dans le guide de VPC l'utilisateur Amazon.

  • Si votre tâche de transformation par lots nécessite l'accès à un AWS service qui ne prend pas en charge les VPC points de terminaison d'interface ou à une ressource extérieure AWS, créez une NAT passerelle et configurez vos groupes de sécurité pour autoriser les connexions sortantes. Pour plus d'informations sur la configuration d'une NAT passerelle pour votre VPC compte, consultez Scénario 2 : VPC avec des sous-réseaux publics et privés (NAT) dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.