Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Donnez aux SageMaker professionnels de formation en IA l'accès aux ressources de votre Amazon VPC

PDF
RSS
Mode de mise au point
Donnez aux SageMaker professionnels de formation en IA l'accès aux ressources de votre Amazon VPC - Amazon SageMaker AI
Configuration d'une tâche d'entraînement pour l'accès à Amazon VPCConfigurez votre VPC privé pour SageMaker la formation à l'IA

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Note

Pour les tâches d'entraînement, vous pouvez uniquement configurer des sous-réseaux avec un VPC de location par défaut dans lequel votre instance s'exécute sur un matériel partagé. Pour plus d'informations sur l'attribut de location pour VPCs, consultez Instances dédiées.

Configuration d'une tâche d'entraînement pour l'accès à Amazon VPC

Pour contrôler l'accès à vos tâches de formation, exécutez-les dans un Amazon VPC doté de sous-réseaux privés sans accès à Internet.

Vous configurez le travail de formation pour qu'il s'exécute dans le VPC en spécifiant ses sous-réseaux et son groupe de sécurité. IDs Il n'est pas nécessaire de spécifier le sous-réseau pour le conteneur de la tâche de formation. Amazon SageMaker AI extrait automatiquement l'image du conteneur de formation depuis Amazon ECR.

Lorsque vous créez une tâche de formation, vous pouvez spécifier les sous-réseaux et les groupes de sécurité de votre VPC à l'aide de la console SageMaker Amazon AI ou de l'API.

Pour utiliser l'API, vous devez spécifier les sous-réseaux et le groupe de sécurité IDs dans le VpcConfig paramètre de l' CreateTrainingJobopération. SageMaker L'IA utilise les détails du sous-réseau et du groupe de sécurité pour créer les interfaces réseau et les attache aux conteneurs de formation. Les interfaces réseau fournissent aux conteneurs de formation une connexion réseau au sein de votre VPC. Cela permet à la tâche de formation de se connecter aux ressources présentes dans votre VPC.

Voici un exemple du VpcConfig paramètre que vous incluez dans votre appel à l'CreateTrainingJobopération :

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
        }

Configurez votre VPC privé pour SageMaker la formation à l'IA

Lorsque vous configurez le VPC privé pour vos tâches de formation à l' SageMaker IA, suivez les instructions suivantes. Pour plus d'informations sur la configuration d'un VPC, consultez la section Utilisation des sous-réseaux VPCs et des sous-réseaux dans le guide de l'utilisateur Amazon VPC.

S'assurer que les sous-réseaux ont suffisamment d'adresses IP

Les instances d'entraînement qui n'utilisent pas de périphérique Elastic Fabric Adapter (EFA) doivent disposer d'au moins 2 adresses IP privées. Les instances d'entraînement qui utilisent un périphérique EFA doivent disposer d'au moins 5 adresses IP privées. Pour plus d'informations, consultez la section Adresses IP multiples dans le guide de EC2 l'utilisateur Amazon.

Vos sous-réseaux VPC doivent avoir au moins deux adresses IP privées pour chaque instance dans une tâche d'entraînement. Pour plus d'informations, consultez la section relative au dimensionnement des VPC et des sous-réseaux dans le guide de l' IPv4utilisateur Amazon VPC.

Création d’un point de terminaison d’un VPC Amazon S3

Si vous configurez votre VPC afin que les conteneurs d'entraînement n'aient pas accès à Internet, ils ne peuvent pas se connecter aux compartiments Amazon S3 qui contiennent vos données d'entraînement, sauf si vous créez un point de terminaison d'un VPC autorisant l'accès. En créant un point de terminaison de VPC, vous permettez à vos conteneurs d'entraînement d'accéder aux compartiments où vous stockez vos données et les artefacts de modèle. Nous vous recommandons de créer également une politique personnalisée autorisant uniquement les demandes d'accès à vos compartiments S3 provenant de votre VPC privé. Pour plus d'informations, veuillez consulter Points de terminaison pour Amazon S3.

Création d'un point de terminaison de VPC S3

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Endpoints (Points de terminaison), puis Create Endpoint (Créer un point de terminaison).

  3. Pour le nom du service, recherchez com.amazonaws. region.s3, où region est le nom de la région où réside votre VPC.

  4. Choisissez le type Passerelle.

  5. Pour VPC, choisissez le VPC que vous voulez utiliser pour ce point de terminaison.

  6. Pour Configure route tables (Configurer les tables de routage), sélectionnez les tables de routage à utiliser par le point de terminaison. Le service de VPC ajoute automatiquement un routage à chaque table de routage que vous sélectionnez et qui dirige le trafic S3 vers le nouveau point de terminaison.

  7. Pour Policy (Politique), choisissez Full Access (Accès total) pour autoriser un accès total au service S3 par n'importe quel utilisateur ou service au sein du VPC. Choisissez Personnalisé pour restreindre l’accès davantage. Pour plus d’informations, veuillez consulter Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3.

Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3

Par défaut, la politique de point de terminaison autorise un accès total à S3 pour n'importe quel utilisateur ou service au sein de votre VPC. Pour limiter l'accès à S3, créez une politique de point de terminaison personnalisé. Pour de plus amples informations, veuillez consulter Utilisation des politiques de point de terminaison pour Amazon S3. Vous pouvez également utiliser une politique de compartiment pour restreindre l'accès à vos compartiments S3 uniquement au trafic issu de votre Amazon VPC. Pour obtenir des informations, veuillez consulter Utilisation de politiques de compartiment Amazon S3.

Restreindre l'installation de packages sur le conteneur d'entraînement

La politique de point de terminaison par défaut permet aux utilisateurs d'installer des packages à partir des référentiels Amazon Linux et Amazon Linux 2 sur le conteneur d'entraînement. Si vous ne voulez pas que les utilisateurs installent des packages à partir de ce référentiel, créez une politique de point de terminaison personnalisée qui refuse explicitement l'accès aux référentiels Amazon Linux et Amazon Linux 2. Voici un exemple de politique qui refuse l'accès à ces référentiels :

{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

Configuration des tables de routage

Utilisez les paramètres DNS par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemplehttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) soit résolu. Si vous n'utilisez pas les paramètres DNS par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos tâches de formation sont résolus en configurant les tables de routage des points de terminaison. Pour obtenir des informations sur les tables de routage de point de terminaison d'un VPC, veuillez consulter Routage des points de terminaison de passerelle dans le Guide de l'utilisateur Amazon VPC.

Configurer le groupe de sécurité VPC

Dans un entraînement distribué, vous devez autoriser la communication entre les différents conteneurs d'une même tâche d'entraînement. Pour ce faire, configurez une règle pour votre groupe de sécurité qui autorise les connexions entrantes entre les membres du même groupe de sécurité. Pour les instances activées pour EFA, assurez-vous que les connexions entrantes et sortantes autorisent tout le trafic provenant du même groupe de sécurité. Pour plus d'informations, consultez Règles des groupes de sécurité dans le Guide de l'utilisateur Amazon Virtual Private Cloud.

Connexion à des ressources en dehors de votre VPC

Si vous configurez votre VPC de façon à ce qu'il ne dispose pas d'un accès Internet, les tâches d'entraînement qui utilisent ce VPC n'ont pas accès aux ressources en dehors de votre VPC. Si vos tâches d'entraînement ont besoin d'accéder à des ressources en dehors de votre VPC, fournissez-leur l'accès en effectuant l'une des actions suivantes :

  • Si votre formation nécessite l'accès à un AWS service prenant en charge les points de terminaison VPC d'interface, créez un point de terminaison pour vous connecter à ce service. Pour obtenir la liste des services qui prennent en charge les points de terminaison d'interface, consultez Points de terminaison d'un VPC (langue française non garantie) dans le Guide de l'utilisateur Amazon VPC. Pour plus d'informations sur la création d'un point de terminaison VPC d'interface, consultez la section Interface VPC Endpoints (AWS PrivateLink) dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.

  • Si votre stage de formation nécessite l'accès à un AWS service qui ne prend pas en charge les points de terminaison VPC d'interface ou à une ressource extérieure AWS, créez une passerelle NAT et configurez vos groupes de sécurité pour autoriser les connexions sortantes. Pour plus d'informations sur la configuration d'une passerelle NAT pour votre VPC, consultez Scénario 2 : VPC avec des sous-réseaux publics et privés (NAT) dans le Guide de l'utilisateur Amazon Virtual Private Cloud.

Surveillez les tâches SageMaker de formation sur Amazon à l'aide de CloudWatch journaux et de statistiques

Amazon SageMaker AI fournit des CloudWatch journaux et des statistiques Amazon pour surveiller les tâches de formation. CloudWatch fournit des mesures relatives au processeur, au processeur graphique, à la mémoire, à la mémoire graphique et au disque, ainsi qu'à la journalisation des événements. Pour plus d'informations sur le suivi des offres de SageMaker formation Amazon, consultez Mesures de surveillance d'Amazon SageMaker AI avec Amazon CloudWatch etSageMaker Jobs liés à l'IA et indicateurs des terminaux.

Sur cette page

Related resources

Amazon SageMaker AI Référence d'API
AWS CLI commandes pour Amazon SageMaker AI
SDKs et outils 

Related resources

Amazon SageMaker AI Référence d'API
AWS CLI commandes pour Amazon SageMaker AI
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.