Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Donnez aux SageMaker professionnels de formation en IA l'accès aux ressources de votre Amazon VPC
**Note**
Pour les tâches d’entraînement, vous pouvez uniquement configurer des sous-réseaux avec un VPC de location par défaut dans lequel votre instance s’exécute sur un matériel partagé. Pour plus d'informations sur l'attribut de location pour VPCs, consultez [Instances dédiées](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).
## Configuration d’une tâche d’entraînement pour l’accès à Amazon VPC
Pour contrôler l’accès à vos tâches d’entraînement, exécutez-les dans un réseau Amazon VPC doté de sous-réseaux privés sans accès à Internet.
Vous configurez le travail de formation pour qu'il s'exécute dans le VPC en spécifiant ses sous-réseaux et son groupe de sécurité. IDs Vous n’avez pas besoin de spécifier le sous-réseau pour le conteneur de la tâche d’entraînement. Amazon SageMaker AI extrait automatiquement l'image du conteneur de formation depuis Amazon ECR.
Lorsque vous créez une tâche de formation, vous pouvez spécifier les sous-réseaux et les groupes de sécurité de votre VPC à l'aide de la console SageMaker Amazon AI ou de l'API.
Pour utiliser l'API, vous devez spécifier les sous-réseaux et le groupe de sécurité IDs dans le `VpcConfig` paramètre de l'[ CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)opération. SageMaker L'IA utilise les détails du sous-réseau et du groupe de sécurité pour créer les interfaces réseau et les attache aux conteneurs de formation. Les interfaces réseau fournissent aux conteneurs d’entraînement une connexion réseau au sein de votre VPC. La tâche d’entraînement peut ainsi se connecter aux ressources qui existent dans votre VPC.
Voici un exemple du paramètre `VpcConfig` que vous incluez dans votre appel à l’opération `CreateTrainingJob` :
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configurez votre VPC privé pour SageMaker la formation à l'IA
Lorsque vous configurez le VPC privé pour vos tâches de formation à l' SageMaker IA, suivez les instructions suivantes. Pour plus d'informations sur la configuration d'un VPC, consultez la section [Utilisation des sous-réseaux VPCs et des sous-réseaux](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) dans le guide de l'utilisateur Amazon *VPC*.
**Topics**
+ [S’assurer que les sous-réseaux ont suffisamment d’adresses IP](#train-vpc-ip)
+ [Création d’un point de terminaison d’un VPC Amazon S3](#train-vpc-s3)
+ [Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3](#train-vpc-policy)
+ [Configuration des tables de routage](#train-vpc-route-table)
+ [Configurer le groupe de sécurité VPC](#train-vpc-groups)
+ [Connexion à des ressources en dehors de votre VPC](#train-vpc-nat)
+ [Surveillez les offres SageMaker de formation Amazon à l'aide de CloudWatch journaux et de statistiques](#train-vpc-cloudwatch)
### S’assurer que les sous-réseaux ont suffisamment d’adresses IP
Les instances d'entraînement qui *n'utilisent pas* de périphérique Elastic Fabric Adapter (EFA) doivent disposer d'au moins 2 adresses IP privées. Les instances d'entraînement qui utilisent un périphérique EFA doivent disposer d'au moins 5 adresses IP privées. Pour plus d'informations, consultez [Plusieurs adresses IP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html) dans le Guide de l'utilisateur Amazon EC2.
Vos sous-réseaux VPC doivent avoir au moins deux adresses IP privées pour chaque instance dans une tâche d’entraînement. Pour plus d'informations, consultez la section relative au [dimensionnement des VPC et des sous-réseaux dans le guide de l' IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4)utilisateur Amazon *VPC*.
### Création d’un point de terminaison d’un VPC Amazon S3
Si vous configurez votre VPC afin que les conteneurs d'entraînement n'aient pas accès à Internet, ils ne peuvent pas se connecter aux compartiments Amazon S3 qui contiennent vos données d'entraînement, sauf si vous créez un point de terminaison d'un VPC autorisant l'accès. En créant un point de terminaison de VPC, vous permettez à vos conteneurs d’entraînement d’accéder aux compartiments où vous stockez vos données et les artefacts de modèle. Nous vous recommandons de créer également une politique personnalisée autorisant uniquement les demandes d'accès à vos compartiments S3 provenant de votre VPC privé. Pour plus d’informations, consultez [Points de terminaison pour Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Pour créer un point de terminaison de VPC S3 :**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoints (Points de terminaison)**, puis **Create Endpoint (Créer un point de terminaison)**.
1. Pour le **nom du service**, recherchez **com.amazonaws. *region*.s3**, où *region* est le nom de la région où réside votre VPC.
1. Choisissez le type **Passerelle**.
1. Pour **VPC**, choisissez le VPC que vous voulez utiliser pour ce point de terminaison.
1. Pour **Configure route tables (Configurer les tables de routage)**, sélectionnez les tables de routage à utiliser par le point de terminaison. Le service de VPC ajoute automatiquement un routage à chaque table de routage que vous sélectionnez et qui dirige le trafic S3 vers le nouveau point de terminaison.
1. Pour **Policy** (Politique), choisissez **Full Access (Accès total)** pour autoriser un accès total au service S3 par n'importe quel utilisateur ou service au sein du VPC. Choisissez **Personnalisé** pour restreindre l’accès davantage. Pour plus d'informations, consultez [Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3](#train-vpc-policy).
### Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3
Par défaut, la politique de point de terminaison autorise un accès total à S3 pour n'importe quel utilisateur ou service au sein de votre VPC. Pour limiter l'accès à S3, créez une politique de point de terminaison personnalisé. Pour plus d’informations, consultez [Utilisation des politiques de point de terminaison pour Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Vous pouvez également utiliser une politique de compartiment pour restreindre l'accès à vos compartiments S3 uniquement au trafic issu de votre Amazon VPC. Pour obtenir des informations, consultez [Utilisation de politiques de compartiment Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Restreindre l’installation de packages sur le conteneur d’entraînement
La politique de point de terminaison par défaut permet aux utilisateurs d'installer des packages à partir des référentiels Amazon Linux et Amazon Linux 2 sur le conteneur d'entraînement. Si vous ne voulez pas que les utilisateurs installent des packages à partir de ce référentiel, créez une politique de point de terminaison personnalisée qui refuse explicitement l'accès aux référentiels Amazon Linux et Amazon Linux 2. Voici un exemple de politique qui refuse l'accès à ces référentiels :
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Configuration des tables de routage
Utilisez les paramètres DNS par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemple`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) soit résolu. Si vous n'utilisez pas les paramètres DNS par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos tâches de formation sont résolus en configurant les tables de routage des points de terminaison. Pour obtenir des informations sur les tables de routage de point de terminaison d’un VPC, consultez [Routage des points de terminaison de passerelle](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) dans le *Guide de l’utilisateur Amazon VPC*.
### Configurer le groupe de sécurité VPC
Dans un entraînement distribué, vous devez autoriser la communication entre les différents conteneurs d’une même tâche d’entraînement. Pour ce faire, configurez une règle pour votre groupe de sécurité qui autorise les connexions entrantes entre les membres du même groupe de sécurité. Pour les instances activées pour EFA, assurez-vous que les connexions entrantes et sortantes autorisent tout le trafic provenant du même groupe de sécurité. Pour plus d'informations, consultez [Règles des groupes de sécurité](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) dans le *Guide de l'utilisateur Amazon Virtual Private Cloud*.
### Connexion à des ressources en dehors de votre VPC
Si vous configurez votre VPC de façon à ce qu’il ne dispose pas d’un accès Internet, les tâches d’entraînement qui utilisent ce VPC n’ont pas accès aux ressources en dehors de votre VPC. Si vos tâches d’entraînement ont besoin d’accéder à des ressources en dehors de votre VPC, fournissez-leur l’accès en effectuant l’une des actions suivantes :
+ Si votre formation nécessite l'accès à un AWS service prenant en charge les points de terminaison VPC d'interface, créez un point de terminaison pour vous connecter à ce service. Pour obtenir la liste des services qui prennent en charge les points de terminaison d'interface, consultez [Points de terminaison d'un VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) (langue française non garantie) dans le *Guide de l'utilisateur Amazon VPC*. Pour plus d'informations sur la création d'un point de terminaison VPC d'interface, consultez la section Interface [VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) dans le guide de l'utilisateur d'*Amazon Virtual Private* Cloud.
+ Si votre stage de formation nécessite l'accès à un AWS service qui ne prend pas en charge les points de terminaison VPC d'interface ou à une ressource extérieure AWS, créez une passerelle NAT et configurez vos groupes de sécurité pour autoriser les connexions sortantes. Pour plus d’informations sur la configuration d’une passerelle NAT pour votre VPC, consultez [Scénario 2 : VPC avec des sous-réseaux publics et privés (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) dans le *Guide de l’utilisateur Amazon Virtual Private Cloud*.
### Surveillez les offres SageMaker de formation Amazon à l'aide de CloudWatch journaux et de statistiques
Amazon SageMaker AI fournit des CloudWatch journaux et des statistiques Amazon pour surveiller les tâches de formation. CloudWatch fournit des mesures relatives au processeur, au processeur graphique, à la mémoire, à la mémoire graphique et au disque, ainsi qu'à la journalisation des événements. Pour plus d'informations sur le suivi des offres de SageMaker formation Amazon, consultez [Métriques Amazon SageMaker AI sur Amazon CloudWatch](monitoring-cloudwatch.md) et[SageMaker Indicateurs de l'emploi liés à](monitoring-cloudwatch.md#cloudwatch-metrics-jobs).