Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Donnez aux tâches de compilation SageMaker AI un accès aux ressources de votre Amazon VPC
Note
Pour les tâches de compilation, vous ne pouvez configurer que des sous-réseaux dotés d'une location par défaut VPC dans lesquels votre tâche s'exécute sur du matériel partagé. Pour plus d'informations sur l'attribut de location pourVPCs, consultez Instances dédiées.
Configuration d'une tâche de compilation pour Amazon VPC Access
Pour spécifier des sous-réseaux et des groupes de sécurité dans votre VPC espace privé, utilisez le paramètre de VpcConfig requête du CreateCompilationJobAPI, ou fournissez ces informations lorsque vous créez une tâche de compilation dans la console SageMaker AI. SageMaker AI Neo utilise ces informations pour créer des interfaces réseau et les associer à vos tâches de compilation. Les interfaces réseau fournissent des tâches de compilation avec une connexion réseau au sein de votre ordinateur VPC qui n'est pas connectée à Internet. Ils permettent également à votre tâche de compilation de se connecter à des ressources dans votre espace privéVPC. Voici un exemple du paramètre VpcConfig que vous incluez dans votre appel à CreateCompilationJob :
VpcConfig: {"Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] }
Configurez votre compte privé VPC pour la compilation SageMaker AI
Lorsque vous configurez le VPC mode privé pour vos tâches de compilation SageMaker AI, suivez les instructions suivantes. Pour plus d'informations sur la configuration d'unVPC, consultez la section Utilisation des sous-réseaux VPCs et des sous-réseaux dans le guide de VPC l'utilisateur Amazon.
Rubriques
S'assurer que les sous-réseaux ont suffisamment d'adresses IP
Vos VPC sous-réseaux doivent avoir au moins deux adresses IP privées pour chaque instance d'une tâche de compilation. Pour plus d'informations, consultez la section VPCrelative au dimensionnement des sous-réseaux IPv4 dans le guide de VPCl'utilisateur Amazon.
Création d'un point de VPC terminaison Amazon S3
Si vous configurez votre VPC appareil pour bloquer l'accès à Internet, SageMaker Neo ne pourra pas se connecter aux compartiments Amazon S3 contenant vos modèles, sauf si vous créez un VPC point de terminaison autorisant l'accès. En créant un VPC point de terminaison, vous autorisez vos tâches de compilation SageMaker Neo à accéder aux compartiments dans lesquels vous stockez vos données et vos artefacts de modèle. Nous vous recommandons également de créer une politique personnalisée qui autorise uniquement les demandes provenant de votre compte privé VPC à accéder à vos compartiments S3. Pour plus d’informations, consultez Points de terminaison pour Amazon S3.
Pour créer un point de VPC terminaison S3 :
-
Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/
. -
Dans le volet de navigation, choisissez Endpoints (Points de terminaison), puis Create Endpoint (Créer un point de terminaison).
-
Pour le nom du service, recherchez com.amazonaws.
region.s3, oùregionest le nom de la région où vous VPC résidez. -
Choisissez le type Passerelle.
-
Pour VPC, choisissez celui que VPC vous souhaitez utiliser pour ce point de terminaison.
-
Pour Configurer les tables de routage, sélectionnez les tables de routage à utiliser par le point de terminaison. Le VPC service ajoute automatiquement un itinéraire à chaque table de routage que vous sélectionnez qui oriente tout trafic S3 vers le nouveau point de terminaison.
-
Pour Policy, choisissez Accès complet pour autoriser l'accès complet au service S3 à n'importe quel utilisateur ou service au sein duVPC. Choisissez Personnalisé pour restreindre l’accès davantage. Pour plus d’informations, veuillez consulter Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3.
Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3
La politique de point de terminaison par défaut permet un accès complet à S3 pour tous les utilisateurs ou services de votre entrepriseVPC. Pour limiter l'accès à S3, créez une politique de point de terminaison personnalisé. Pour de plus amples informations, veuillez consulter Utilisation des politiques de point de terminaison pour Amazon S3. Vous pouvez également utiliser une politique de compartiment pour restreindre l'accès à vos compartiments S3 uniquement au trafic provenant de votre AmazonVPC. Pour obtenir des informations, veuillez consulter Utilisation de politiques de compartiment Amazon S3. Voici un exemple de politique personnalisée :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::your-sample-bucket", "arn:aws:s3:::your-sample-bucket/*" ], "Condition": { "StringNotEquals": { "aws:SourceVpce": [ "vpce-01234567890123456" ] } } } ] }
Ajouter des autorisations pour les tâches de compilation exécutées sur un Amazon VPC aux IAM politiques personnalisées
La politique SageMakerFullAccess gérée inclut les autorisations dont vous avez besoin pour utiliser les modèles configurés pour Amazon VPC Access avec un point de terminaison. Ces autorisations permettent à SageMaker Neo de créer une interface réseau élastique et de l'associer à une tâche de compilation exécutée sur AmazonVPC. Si vous utilisez votre propre IAM politique, vous devez ajouter les autorisations suivantes à cette politique pour utiliser les modèles configurés pour l'VPCaccès à Amazon.
{"Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "ec2:DescribeVpcEndpoints", "ec2:DescribeDhcpOptions", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "*" } ] }
Pour plus d'informations sur la politique gérée SageMakerFullAccess, consultez AWS politique gérée : AmazonSageMakerFullAccess.
Configuration des tables de routage
Utilisez DNS les paramètres par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemplehttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) soit résolu. Si vous n'utilisez pas DNS les paramètres par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos tâches de compilation sont résolus en configurant les tables de routage des points de terminaison. Pour plus d'informations sur les tables de routage des points de VPC terminaison, consultez la section Routing for Gateway Endpoints dans le guide de VPC l'utilisateur Amazon.
Configuration du groupe VPC de sécurité
Dans votre groupe de sécurité pour la tâche de compilation, vous devez autoriser les communications sortantes vers vos VPC points de terminaison Amazon S3 et les CIDR plages de sous-réseaux utilisées pour la tâche de compilation. Pour plus d'informations, consultez Règles des groupes de sécurité et contrôlez l'accès aux services avec les VPC points de terminaison Amazon.
