Siapkan untuk Menggunakan EI - Amazon SageMaker
Mengatur Izin yang DiperlukanGunakan VPC Kustom untuk Connect ke EI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Siapkan untuk Menggunakan EI

Gunakan instruksi dalam topik ini hanya jika salah satu dari berikut ini berlaku untuk Anda:

  • Anda ingin menggunakan peran atau kebijakan izin yang disesuaikan.

  • Anda ingin menggunakan VPC untuk model yang dihosting atau instance notebook Anda.

catatan

Jika Anda sudah memiliki peran eksekusi yang memiliki kebijakan AmazonSageMakerFullAccess terkelola yang dilampirkan (ini berlaku untuk setiap peran IAM yang Anda buat saat membuat instance notebook, tugas pelatihan, atau model di konsol) dan Anda tidak terhubung ke model EI atau instance notebook di VPC, Anda tidak perlu membuat perubahan ini untuk menggunakan EI di Amazon. SageMaker

Mengatur Izin yang Diperlukan

Untuk menggunakan EI SageMaker, peran yang Anda gunakan untuk membuka instance notebook atau membuat model deployable harus memiliki kebijakan dengan izin yang diperlukan terlampir. Anda dapat melampirkan kebijakan AmazonSageMakerFullAccess terkelola, yang berisi izin yang diperlukan, ke peran, atau Anda dapat menambahkan kebijakan khusus yang memiliki izin yang diperlukan. Untuk informasi tentang membuat peran IAM, lihat Membuat Peran untuk AWS Layanan (Konsol) di Panduan AWS Identity and Access Management Pengguna. Untuk informasi tentang melampirkan kebijakan ke peran, lihat Menambahkan dan Menghapus Kebijakan IAM.

Tambahkan izin ini secara khusus untuk menghubungkan EI dalam kebijakan IAM.

{
    "Effect": "Allow",
    "Action": [
        "elastic-inference:Connect",
        "ec2:DescribeVpcEndpoints"
    ],
    "Resource": "*"
}

Kebijakan IAM berikut adalah daftar lengkap izin yang diperlukan untuk menggunakan EI di. SageMaker

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elastic-inference:Connect",
                "ec2:DescribeVpcEndpoints"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchGetImage",
                "ecr:BatchCheckLayerAvailability",
                "cloudwatch:PutMetricData",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:DeleteAlarms",
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "application-autoscaling:DeleteScalingPolicy",
                "application-autoscaling:DeleteScheduledAction",
                "application-autoscaling:DeregisterScalableTarget",
                "application-autoscaling:DescribeScalableTargets",
                "application-autoscaling:DescribeScalingActivities",
                "application-autoscaling:DescribeScalingPolicies",
                "application-autoscaling:DescribeScheduledActions",
                "application-autoscaling:PutScalingPolicy",
                "application-autoscaling:PutScheduledAction",
                "application-autoscaling:RegisterScalableTarget",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:GetLogEvents",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "s3:ExistingObjectTag/SageMaker": "true"
                }
            }
        },
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "sagemaker.amazonaws.com"
                }
            }
        }
    ]
}

Gunakan VPC Kustom untuk Connect ke EI

Untuk menggunakan EI dengan SageMaker VPC, Anda perlu membuat dan mengonfigurasi dua grup keamanan, dan menyiapkan titik akhir antarmuka PrivateLink VPC. EI menggunakan titik akhir antarmuka VPC untuk berkomunikasi dengan titik SageMaker akhir di VPC Anda. Grup keamanan yang Anda buat digunakan untuk terhubung ke titik akhir antarmuka VPC.

Mengatur Grup Keamanan untuk Connect ke EI

Untuk menggunakan EI dalam VPC, Anda perlu membuat dua grup keamanan:

  • Grup keamanan untuk mengontrol akses ke titik akhir antarmuka VPC yang akan Anda atur untuk EI.

  • Grup keamanan yang memungkinkan SageMaker untuk memanggil ke grup keamanan pertama.

Untuk mengkonfigurasi dua grup keamanan

  1. Buat grup keamanan tanpa koneksi keluar. Anda akan melampirkan ini ke antarmuka titik akhir VPC yang Anda buat di bagian berikutnya.

  2. Buat grup keamanan kedua tanpa koneksi masuk, tetapi dengan koneksi keluar ke grup keamanan pertama.

  3. Edit grup keamanan pertama untuk mengizinkan koneksi masuk hanya ke grup keamanan kedua dan semua koneksi keluar.

Untuk informasi selengkapnya tentang grup keamanan VPC, lihat Grup Keamanan untuk VPC Anda di Panduan Pengguna Amazon Virtual Private Cloud.

Untuk menggunakan EI dengan SageMaker VPC kustom, Anda perlu menyiapkan titik akhir antarmuka VPC (PrivateLink) untuk layanan EI.

  • Siapkan titik akhir antarmuka VPC (PrivateLink) untuk EI. Ikuti petunjuk di Membuat Endpoint Antarmuka. Dalam daftar layanan, pilih com.amazonaws. <region>.elastic-inference.runtime. Untuk grup Keamanan, pastikan Anda memilih grup keamanan pertama yang Anda buat di bagian sebelumnya ke titik akhir.

  • Saat Anda mengatur titik akhir antarmuka, pilih semua Availability Zone tempat EI tersedia. EI gagal jika Anda tidak menyiapkan setidaknya dua Availability Zone. Untuk informasi tentang subnet VPC, lihat VPC dan Subnet.