Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour contrôler l'accès à vos données et aux tâches de traitement, créez un Amazon VPC avec des sous-réseaux privés. Pour plus d'informations sur la création et la configuration d'un VPC, consultez Get Started With Amazon VPC dans le guide de l'utilisateur Amazon VPC.
Vous pouvez surveiller l'ensemble du trafic réseau entrant et sortant de vos conteneurs de traitement à l'aide des journaux de flux VPC. Pour plus d’informations, consultez la rubrique Journaux de flux VPC dans le Guide de l’utilisateur Amazon VPC.
Ce document explique comment ajouter des configurations Amazon VPC pour les tâches de traitement.
Configurer une tâche de traitement pour un accès Amazon VPC
Vous configurez la tâche de traitement en spécifiant les sous-réseaux et le groupe de sécurité IDs au sein du VPC. Il n'est pas nécessaire de spécifier le sous-réseau du conteneur de traitement. Amazon SageMaker AI extrait automatiquement le conteneur de traitement d'Amazon ECR. Pour plus d'informations sur le traitement des conteneurs, consultezCharges de travail de transformation des données avec Processing SageMaker .
Lorsque vous créez une tâche de traitement, vous pouvez spécifier des sous-réseaux et des groupes de sécurité dans votre VPC à l'aide de la console AI ou de SageMaker l'API.
Pour utiliser l'API, vous devez spécifier les sous-réseaux et le groupe de sécurité IDs dans le NetworkConfig.VpcConfig
paramètre de l' CreateProcessingJobopération. SageMaker L'IA utilise les détails du sous-réseau et du groupe de sécurité pour créer les interfaces réseau et les associer aux conteneurs de traitement. Les interfaces réseau fournissent aux conteneurs de traitement une connexion réseau au sein de votre VPC. Cela permet à la tâche de traitement de se connecter aux ressources qui existent dans votre VPC.
Voici un exemple du VpcConfig
paramètre que vous incluez dans votre appel à l'CreateProcessingJob
opération :
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
Configurez votre VPC privé pour SageMaker le traitement de l'IA
Lorsque vous configurez le VPC privé pour vos tâches de traitement par SageMaker IA, suivez les instructions suivantes. Pour plus d'informations sur la configuration d'un VPC, consultez la section Utilisation des sous-réseaux VPCs et des sous-réseaux dans le guide de l'utilisateur Amazon VPC.
Rubriques
S'assurer que les sous-réseaux ont suffisamment d'adresses IP
Vos sous-réseaux VPC doivent avoir au moins deux adresses IP privées pour chaque instance dans une tâche de traitement. Pour plus d'informations, consultez la section relative au dimensionnement des VPC et des sous-réseaux dans le guide de l' IPv4utilisateur Amazon VPC.
Création d’un point de terminaison d’un VPC Amazon S3
Si vous configurez votre VPC afin que les conteneurs de traitement n'aient pas accès à Internet, ces derniers ne peuvent pas se connecter aux compartiments Amazon S3 qui contiennent vos données, à moins de créer un point de terminaison d'un VPC autorisant l'accès. En créant un point de terminaison de VPC, vous permettez à vos conteneurs de traitement d'accéder aux compartiments où vous stockez vos données. Nous vous recommandons de créer également une politique personnalisée autorisant uniquement les demandes d'accès à vos compartiments S3 provenant de votre VPC privé. Pour plus d'informations, veuillez consulter Points de terminaison pour Amazon S3.
Création d'un point de terminaison de VPC S3
-
Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/
. -
Dans le volet de navigation, choisissez Endpoints (Points de terminaison), puis Create Endpoint (Créer un point de terminaison).
-
Pour Nom du service, choisissez com.amazonaws.
region
.s3, oùregion
est le nom de la région où réside votre VPC. -
Pour VPC, choisissez le VPC que vous voulez utiliser pour ce point de terminaison.
-
Pour Configure route tables (Configurer les tables de routage), sélectionnez les tables de routage à utiliser par le point de terminaison. Le service de VPC ajoute automatiquement un routage à chaque table de routage que vous sélectionnez et qui dirige le trafic S3 vers le nouveau point de terminaison.
-
Pour Policy (Politique), choisissez Full Access (Accès total) pour autoriser un accès total au service S3 par n'importe quel utilisateur ou service au sein du VPC. Choisissez Personnalisé pour restreindre l’accès davantage. Pour plus d’informations, veuillez consulter Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3.
Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3
Par défaut, la politique de point de terminaison autorise un accès total à S3 pour n'importe quel utilisateur ou service au sein de votre VPC. Pour limiter l'accès à S3, créez une politique de point de terminaison personnalisé. Pour de plus amples informations, veuillez consulter Utilisation des politiques de point de terminaison pour Amazon S3. Vous pouvez également utiliser une politique de compartiment pour restreindre l'accès à vos compartiments S3 uniquement au trafic issu de votre Amazon VPC. Pour obtenir des informations, veuillez consulter Utilisation de politiques de compartiment Amazon S3.
Restreindre l'installation de packages sur le conteneur de traitement
La politique de point de terminaison par défaut permet aux utilisateurs d'installer des packages à partir des référentiels Amazon Linux et Amazon Linux 2 sur le conteneur de traitement. Si vous ne voulez pas que les utilisateurs installent des packages à partir de ce référentiel, créez une politique de point de terminaison personnalisée qui refuse explicitement l'accès aux référentiels Amazon Linux et Amazon Linux 2. Voici un exemple de politique qui refuse l'accès à ces référentiels :
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
Configuration des tables de routage
Utilisez les paramètres DNS par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemplehttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket
) soit résolu. Si vous n'utilisez pas les paramètres DNS par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos tâches de traitement sont résolus en configurant les tables de routage des points de terminaison. Pour obtenir des informations sur les tables de routage de point de terminaison d'un VPC, veuillez consulter Routage des points de terminaison de passerelle dans le Guide de l'utilisateur Amazon VPC.
Configurer le groupe de sécurité VPC
Dans un traitement distribué, vous devez autoriser la communication entre les différents conteneurs d'une même tâche de traitement. Pour ce faire, configurez une règle pour votre groupe de sécurité qui autorise les connexions entrantes entre les membres du même groupe de sécurité. Pour de plus amples informations, veuillez consulter Règles des groupes de sécurité.
Connexion à des ressources en dehors de votre VPC
Si vous connectez vos modèles à des ressources extérieures au VPC dans lequel ils s'exécutent, effectuez l'une des opérations suivantes :
-
Connexion à d'autres AWS services : si votre modèle a besoin d'accéder à un AWS service prenant en charge les points de terminaison Amazon VPC d'interface, créez un point de terminaison pour vous connecter à ce service. Pour obtenir la liste des services qui prennent en charge les points de terminaison d'interface, consultez la section AWS Services intégrés AWS PrivateLink dans le Guide de l' AWS PrivateLink utilisateur. Pour plus d'informations sur la création d'un point de terminaison VPC d'interface, consultez la section Accès à un AWS service à l'aide d'un point de terminaison VPC d'interface dans le guide de l'utilisateur. AWS PrivateLink
-
Connectez-vous aux ressources via Internet : si vos modèles s'exécutent sur des instances figurant dans un réseau Amazon VPC qui ne possède pas de sous-réseau avec accès à Internet, les modèles n'auront pas accès aux ressources sur Internet. Si votre modèle a besoin d'accéder à un AWS service qui ne prend pas en charge les points de terminaison VPC d'interface, ou à une ressource extérieure AWS, assurez-vous d'exécuter vos modèles dans un sous-réseau privé ayant accès à Internet via une passerelle NAT publique dans un sous-réseau public. Une fois que vos modèles s'exécutent dans le sous-réseau privé, configurez vos groupes de sécurité et vos listes de contrôle d'accès réseau (NACLs) pour autoriser les connexions sortantes du sous-réseau privé vers la passerelle NAT publique du sous-réseau public. Pour en savoir plus, consultez Passerelles NAT dans le Guide de l'utilisateur Amazon VPC.
Surveillez les tâches SageMaker de traitement Amazon à l'aide de CloudWatch journaux et de statistiques
Amazon SageMaker AI fournit des CloudWatch journaux et des statistiques Amazon pour surveiller les tâches de formation. CloudWatch fournit des mesures relatives au processeur, au processeur graphique, à la mémoire, à la mémoire graphique et au disque, ainsi qu'à la journalisation des événements. Pour plus d'informations sur la surveillance SageMaker des tâches de traitement Amazon, consultez Mesures de surveillance d'Amazon SageMaker AI avec Amazon CloudWatch etSageMaker Jobs liés à l'IA et indicateurs des terminaux.