Donnez à SageMaker Training Jobs l'accès aux ressources de votre Amazon VPC - Amazon SageMaker

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Donnez à SageMaker Training Jobs l'accès aux ressources de votre Amazon VPC

Note

Pour les tâches de formation, vous ne pouvez configurer que des sous-réseaux dotés d'une location par défaut VPC dans lesquels votre instance s'exécute sur du matériel partagé. Pour plus d'informations sur l'attribut de location pourVPCs, consultez Instances dédiées.

Configurer un job de formation pour Amazon VPC Access

Pour contrôler l'accès à vos tâches de formation, exécutez-les sur un Amazon VPC doté de sous-réseaux privés sans accès à Internet.

Vous configurez le travail de formation pour qu'il s'exécute dans le en VPC spécifiant ses sous-réseaux et son groupe IDs de sécurité. Il n'est pas nécessaire de spécifier le sous-réseau pour le conteneur de la tâche de formation. Amazon extrait SageMaker automatiquement l'image du conteneur de formation depuis AmazonECR.

Lorsque vous créez un poste de formation, vous pouvez spécifier les sous-réseaux et les groupes de sécurité qu'il contient à VPC l'aide de la SageMaker console Amazon ou duAPI.

Pour utiliser leAPI, vous devez spécifier les sous-réseaux et le groupe de sécurité IDs dans le VpcConfig paramètre de l' CreateTrainingJobopération. SageMaker utilise les détails du sous-réseau et du groupe de sécurité pour créer les interfaces réseau et les attache aux conteneurs de formation. Les interfaces réseau fournissent aux conteneurs de formation une connexion réseau au sein de votreVPC. Cela permet au poste de formation de se connecter aux ressources qui existent dans votre entrepriseVPC.

Voici un exemple du VpcConfig paramètre que vous incluez dans votre appel à l'CreateTrainingJobopération :

VpcConfig: { "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] }

Configurez votre espace privé VPC pour l' SageMaker entraînement

Lorsque vous configurez le VPC mode privé pour vos tâches de SageMaker formation, suivez les instructions suivantes. Pour plus d'informations sur la configuration d'unVPC, consultez la section Utilisation des sous-réseaux VPCs et des sous-réseaux dans le guide de VPC l'utilisateur Amazon.

S'assurer que les sous-réseaux ont suffisamment d'adresses IP

Les instances de formation qui n'utilisent pas d'adaptateur Elastic Fabric (EFA) doivent disposer d'au moins 2 adresses IP privées. Les instances de formation qui utilisent et EFA doivent disposer d'au moins 5 adresses IP privées. Pour plus d'informations, consultez la section Adresses IP multiples dans le guide de EC2 l'utilisateur Amazon.

Dans le cadre d'une tâche de formation, vos VPC sous-réseaux doivent avoir au moins deux adresses IP privées pour chaque instance. Pour plus d'informations, consultez la section VPCrelative au dimensionnement des sous-réseaux IPv4 dans le guide de VPCl'utilisateur Amazon.

Création d'un point de VPC terminaison Amazon S3

Si vous configurez le vôtre de VPC telle sorte que les conteneurs de formation n'aient pas accès à Internet, ils ne peuvent pas se connecter aux compartiments Amazon S3 contenant vos données de formation, sauf si vous créez un VPC point de terminaison autorisant l'accès. En créant un VPC point de terminaison, vous autorisez vos conteneurs de formation à accéder aux compartiments dans lesquels vous stockez vos données et vos artefacts de modèle. Nous vous recommandons également de créer une politique personnalisée qui autorise uniquement les demandes provenant de votre compte privé VPC à accéder à vos compartiments S3. Pour plus d’informations, consultez Points de terminaison pour Amazon S3.

Pour créer un point de VPC terminaison S3 :
  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Endpoints (Points de terminaison), puis Create Endpoint (Créer un point de terminaison).

  3. Pour le nom du service, recherchez com.amazonaws.region.s3, où region est le nom de la région dans laquelle vous VPC résidez.

  4. Choisissez le type Passerelle.

  5. Pour VPC, choisissez celui que VPC vous souhaitez utiliser pour ce point de terminaison.

  6. Pour Configurer les tables de routage, sélectionnez les tables de routage à utiliser par le point de terminaison. Le VPC service ajoute automatiquement un itinéraire à chaque table de routage que vous sélectionnez qui oriente tout trafic S3 vers le nouveau point de terminaison.

  7. Pour Policy, choisissez Accès complet pour autoriser l'accès complet au service S3 à tout utilisateur ou service au sein duVPC. Choisissez Personnalisé pour restreindre l’accès davantage. Pour plus d’informations, veuillez consulter Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3.

Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3

La politique de point de terminaison par défaut permet un accès complet à S3 pour tous les utilisateurs ou services de votre entrepriseVPC. Pour limiter l'accès à S3, créez une politique de point de terminaison personnalisé. Pour de plus amples informations, veuillez consulter Utilisation des politiques de point de terminaison pour Amazon S3. Vous pouvez également utiliser une politique de compartiment pour restreindre l'accès à vos compartiments S3 uniquement au trafic provenant de votre AmazonVPC. Pour obtenir des informations, veuillez consulter Utilisation de politiques de compartiment Amazon S3.

Restreindre l'installation de packages sur le conteneur d'entraînement

La politique de point de terminaison par défaut permet aux utilisateurs d'installer des packages à partir des référentiels Amazon Linux et Amazon Linux 2 sur le conteneur d'entraînement. Si vous ne voulez pas que les utilisateurs installent des packages à partir de ce référentiel, créez une politique de point de terminaison personnalisée qui refuse explicitement l'accès aux référentiels Amazon Linux et Amazon Linux 2. Voici un exemple de politique qui refuse l'accès à ces référentiels :

{ "Statement": [ { "Sid": "AmazonLinuxAMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::packages.*.amazonaws.com/*", "arn:aws:s3:::repo.*.amazonaws.com/*" ] } ] } { "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" ] } ] }

Configuration des tables de routage

Utilisez DNS les paramètres par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemplehttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) soit résolu. Si vous n'utilisez pas DNS les paramètres par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos tâches de formation sont résolus en configurant les tables de routage des points de terminaison. Pour plus d'informations sur les tables de routage des points de VPC terminaison, consultez la section Routing for Gateway Endpoints dans le guide de VPC l'utilisateur Amazon.

Configuration du groupe VPC de sécurité

Dans un entraînement distribué, vous devez autoriser la communication entre les différents conteneurs d'une même tâche d'entraînement. Pour ce faire, configurez une règle pour votre groupe de sécurité qui autorise les connexions entrantes entre les membres du même groupe de sécurité. Pour les instances EFA activées, assurez-vous que les connexions entrantes et sortantes autorisent tout le trafic provenant du même groupe de sécurité. Pour plus d'informations, consultez Règles des groupes de sécurité dans le Guide de l'utilisateur Amazon Virtual Private Cloud.

Connectez-vous à des ressources extérieures à votre VPC

Si vous configurez votre ordinateur de VPC manière à ce qu'il n'ait pas accès à Internet, les emplois de formation qui l'utilisent VPC n'ont pas accès à des ressources extérieures à vousVPC. Si votre poste de formation nécessite l'accès à des ressources extérieures à vousVPC, offrez l'accès en utilisant l'une des options suivantes :

  • Si votre poste de formation nécessite l'accès à un AWS service prenant en charge les VPC points de terminaison d'interface, créez un point de terminaison pour vous connecter à ce service. Pour obtenir la liste des services qui prennent en charge les points de terminaison d'interface, consultez la section VPCEndpoints du guide de l'utilisateur Amazon Virtual Private Cloud. Pour plus d'informations sur la création d'un point de VPC terminaison d'interface, consultez Interface VPC Endpoints (AWS PrivateLink) dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.

  • Si votre stage de formation nécessite l'accès à un AWS service qui ne prend pas en charge les VPC points de terminaison d'interface ou à une ressource extérieure AWS, créez une NAT passerelle et configurez vos groupes de sécurité pour autoriser les connexions sortantes. Pour plus d'informations sur la configuration d'une NAT passerelle pour votre VPC compte, consultez Scénario 2 : VPC avec des sous-réseaux publics et privés (NAT) dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.

Surveillez les offres SageMaker de formation Amazon à l'aide de CloudWatch journaux et de statistiques

Amazon SageMaker fournit des CloudWatch journaux et des statistiques Amazon pour suivre les tâches de formation. CloudWatch fournit des métriques de mémoire CPUGPU, de GPU mémoire et de disque, ainsi que la journalisation des événements. Pour plus d'informations sur le suivi des offres de SageMaker formation Amazon, consultez Mesures de surveillance d'Amazon SageMaker avec Amazon CloudWatch etSageMaker indicateurs relatifs aux emplois et aux terminaux.