Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Identity and Access Management pour SageMaker HyperPod
AWS Identity and Access Management (IAM) est un AWS service qui permet à un administrateur de contrôler en toute sécurité l'accès à AWS ressources. IAMles administrateurs contrôlent qui peut être authentifié (connecté) et autorisé (autorisé) à utiliser les EKS ressources Amazon. IAMest un AWS service que vous pouvez utiliser sans frais supplémentaires.
Important
Les IAM politiques personnalisées qui autorisent Amazon SageMaker Studio ou Amazon SageMaker Studio Classic à créer des SageMaker ressources Amazon doivent également accorder des autorisations pour ajouter des balises à ces ressources. L'autorisation d'ajouter des balises aux ressources est requise car Studio et Studio Classic balisent automatiquement toutes les ressources qu'ils créent. Si une IAM politique autorise Studio et Studio Classic à créer des ressources mais n'autorise pas le balisage, des erreurs « AccessDenied » peuvent se produire lors de la tentative de création de ressources. Pour de plus amples informations, veuillez consulter Fournir des autorisations pour le balisage des ressources SageMaker.
AWS Politiques gérées pour Amazon SageMakerqui donnent des autorisations pour créer des SageMaker ressources incluent déjà des autorisations pour ajouter des balises lors de la création de ces ressources.
Supposons qu'il existe deux couches principales d' SageMaker HyperPod utilisateurs : les administrateurs du cluster et les utilisateurs des data scientists.
-
Utilisateurs administrateurs de clusters : ils sont responsables de la création et de la gestion des SageMaker HyperPod clusters. Cela inclut la configuration des HyperPod clusters et la gestion de l'accès des utilisateurs à ceux-ci.
-
Créez et configurez SageMaker HyperPod des clusters avec Slurm ou Amazon. EKS
-
Créez et configurez IAM des rôles pour les utilisateurs de data scientists et les ressources HyperPod du cluster.
-
Pour l' SageMaker HyperPod orchestration avec AmazonEKS, créez et configurez des entrées EKS d'accès, un contrôle d'accès basé sur les rôles (RBAC) et Pod Identity pour répondre aux cas d'utilisation de la science des données.
-
-
Utilisateurs de data scientists — Concentrez-vous sur la formation des modèles de machine learning. Ils utilisent l'orchestrateur open source ou le SageMaker HyperPod CLI pour soumettre et gérer des tâches de formation.
-
Assumez et utilisez le IAM rôle fourni par les utilisateurs administrateurs du cluster.
-
Interagissez avec l'orchestrateur open source CLIs pris en charge par SageMaker HyperPod (Slurm ou Kubernetes) ou SageMaker HyperPod CLI pour vérifier la capacité des clusters, vous connecter au cluster et soumettre des charges de travail.
-
Configurez IAM des rôles pour les administrateurs de clusters en attachant les autorisations ou les politiques appropriées pour faire fonctionner les SageMaker HyperPod clusters. Les administrateurs du cluster doivent également créer des IAM rôles à attribuer aux SageMaker HyperPod ressources à assumer, à exécuter et à communiquer avec les personnes nécessaires. AWS des ressources, telles qu'Amazon S3 CloudWatch, Amazon et AWS Systems Manager (SSM). Enfin, le AWS l'administrateur du compte ou les administrateurs du cluster doivent accorder aux scientifiques les autorisations nécessaires pour accéder aux SageMaker HyperPod clusters et exécuter des charges de travail ML.
En fonction de l'orchestrateur que vous choisissez, les autorisations requises pour l'administrateur du cluster et les scientifiques peuvent varier. Vous pouvez également contrôler l'étendue des autorisations pour différentes actions dans les rôles à l'aide des clés de condition par service. Utilisez les références d'autorisation de service suivantes pour ajouter une portée détaillée aux services associés à SageMaker HyperPod.
-
Amazon Elastic Container Registry (pour l'orchestration de SageMaker HyperPod clusters avec AmazonEKS)
-
Amazon Elastic Kubernetes Service (pour SageMaker HyperPod l'orchestration de clusters avec Amazon) EKS
-
AWS IAMIdentity Center (successeur de AWS (Authentification unique)
Rubriques
IAMutilisateurs pour l'administrateur du cluster
Les administrateurs de clusters (administrateurs) exploitent et configurent les SageMaker HyperPod clusters, en effectuant les tâches dansSageMaker HyperPod opération. L'exemple de politique suivant inclut l'ensemble minimal d'autorisations permettant aux administrateurs de clusters d'exécuter le SageMaker HyperPod noyau APIs et de gérer les SageMaker HyperPod clusters au sein de votre AWS .
Pour accorder des autorisations d'accès à la SageMaker console, utilisez l'exemple de politique fourni dans Autorisations requises pour utiliser la SageMaker console Amazon.
Pour accorder des autorisations d'accès à la console Amazon EC2 Systems Manager, utilisez l'exemple de politique fourni dans Using the AWS Systems Manager console dans le AWS Systems Manager Guide de l'utilisateur.
Vous pouvez également envisager d'associer la AmazonSageMakerFullAccesspolitique au rôle ; toutefois, notez que la AmazonSageMakerFullAccess
politique accorde des autorisations à l'ensemble des SageMaker API appels, des fonctionnalités et des ressources.
Pour obtenir des conseils sur IAM les utilisateurs en général, voir IAMles utilisateurs dans le AWS Identity and Access Management Guide de l'utilisateur.
IAMutilisateurs pour les scientifiques
Les scientifiques se connectent et exécutent des charges de travail ML sur les nœuds de SageMaker HyperPod cluster fournis par les administrateurs du cluster. Pour les scientifiques de votre AWS compte, vous devez accorder l'autorisation "ssm:StartSession"
d'exécuter la SSM start-session
commande. Voici un exemple de politique destiné IAM aux utilisateurs.
IAMrôle pour SageMaker HyperPod
Pour que les SageMaker HyperPod clusters s'exécutent et communiquent avec les éléments nécessaires AWS ressources, vous devez créer un IAM rôle que le HyperPod cluster doit assumer.
Commencez par associer le rôle géréAWS politique gérée : AmazonSageMakerHyperPodServiceRolePolicy. Compte tenu de cela AWS politique gérée, les groupes d'instances de SageMaker HyperPod cluster assument le rôle de communiquer avec Amazon CloudWatch, Amazon S3 et AWS Systems Manager Agente (SSMAgent). Cette stratégie gérée est le minimum requis pour que les SageMaker HyperPod ressources fonctionnent correctement. Vous devez donc attribuer un IAM rôle avec cette politique à tous les groupes d'instances.
Astuce
En fonction de vos préférences en matière de conception du niveau d'autorisations pour plusieurs groupes d'instances, vous pouvez également configurer plusieurs IAM rôles et les associer à différents groupes d'instances. Lorsque vous configurez l'accès des utilisateurs de votre cluster à des nœuds de SageMaker HyperPod cluster spécifiques, les nœuds assument le rôle avec les autorisations sélectives que vous avez associées manuellement.
Lorsque vous configurez l'accès des scientifiques à des nœuds de cluster spécifiques via AWS Systems Manager
Une fois que vous avez terminé de créer IAM des rôles, notez leurs noms etARNs. Vous utilisez les rôles lors de la création d'un SageMaker HyperPod cluster, en accordant les autorisations correctes requises pour que chaque groupe d'instances puisse communiquer avec les personnes nécessaires AWS ressources.