Offri ad Amazon SageMaker Clarify Jobs l'accesso alle risorse nel tuo Amazon VPC - Amazon SageMaker AI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Offri ad Amazon SageMaker Clarify Jobs l'accesso alle risorse nel tuo Amazon VPC

Per controllare l'accesso ai tuoi dati e ai lavori di SageMaker Clarify, ti consigliamo di creare un Amazon VPC privato e configurarlo in modo che i tuoi lavori non siano accessibili su Internet pubblico. Per informazioni sulla creazione e configurazione di un Amazon VPC per i lavori di elaborazione, consulta SageMaker Concedi ai processi di elaborazione l'accesso alle risorse nel tuo Amazon VPC.

Questo documento spiega come aggiungere configurazioni Amazon VPC aggiuntive che soddisfino i requisiti per SageMaker i job Clarify.

Configurazione di un lavoro SageMaker Clarify per Amazon VPC Access

È necessario specificare sottoreti e gruppi di sicurezza durante la configurazione dei job privati di Amazon VPC for SageMaker Clarify e consentire al job di ottenere inferenze dal modello di SageMaker intelligenza artificiale durante il calcolo delle metriche di distorsione post-formazione e dei contributi alle funzionalità che aiutano a spiegare le previsioni dei modelli.

SageMaker Clarify Job: sottoreti e gruppi di sicurezza Amazon VPC

Le sottoreti e i gruppi di sicurezza del tuo Amazon VPC privato possono essere assegnati a un job SageMaker Clarify in vari modi, a seconda di come crei il lavoro.

  • SageMaker Console AI: fornisci queste informazioni quando crei il lavoro nell'AI Dashboard. SageMaker Dal menu Elaborazione, scegli Processi di elaborazione, quindi scegli Crea processo di elaborazione. Seleziona l'opzione VPC nel pannello Rete e fornisci le sottoreti e i gruppi di sicurezza utilizzando gli elenchi a discesa. Assicurati che l'opzione di isolamento della rete fornita in questo pannello sia disattivata.

  • SageMaker API: utilizza il parametro di NetworkConfig.VpcConfig richiesta dell'CreateProcessingJobAPI, come mostrato nell'esempio seguente:

    "NetworkConfig": { "VpcConfig": { "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] } }
  • SageMaker Python SDK: utilizza il NetworkConfig parametro dell'SageMakerClarifyProcessorAPI o dell'ProcessorAPI, come mostrato nell'esempio seguente:

    from sagemaker.network import NetworkConfig network_config = NetworkConfig( subnets=[ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2", ], security_group_ids=[ "sg-0123456789abcdef0", ], )

SageMaker L'intelligenza artificiale utilizza le informazioni per creare interfacce di rete e collegarle al SageMaker job Clarify. Le interfacce di rete forniscono un job SageMaker Clarify con una connessione di rete all'interno di Amazon VPC che non è connessa alla rete Internet pubblica. Consentono inoltre al job SageMaker Clarify di connettersi alle risorse del tuo Amazon VPC privato.

Nota

L'opzione di isolamento della rete del job SageMaker Clarify deve essere disattivata (per impostazione predefinita l'opzione è disattivata) in modo che il job SageMaker Clarify possa comunicare con l'endpoint shadow.

Configurazione di un modello Amazon VPC per l'inferenza

Per calcolare le metriche di distorsione e la spiegabilità post-allenamento, il job SageMaker Clarify deve ottenere inferenze dal modello di SageMaker intelligenza artificiale specificato dal parametro della configurazione di analisi per il processo di elaborazione di Clarify. model_name SageMaker In alternativa, se utilizzi l'SageMakerClarifyProcessorAPI nell'SDK SageMaker AI Python, il lavoro deve ottenere model_name quanto specificato dalla classe. ModelConfig A tale scopo, il job SageMaker Clarify crea un endpoint temporaneo con il modello, noto come endpoint shadow, e quindi applica la configurazione Amazon VPC del modello all'endpoint shadow.

Per specificare sottoreti e gruppi di sicurezza nel tuo Amazon VPC privato rispetto al modello SageMaker AI, utilizza il parametro VpcConfig request dell'CreateModelAPI o fornisci queste informazioni quando crei il modello utilizzando la dashboard SageMaker AI nella console. Di seguito viene mostrato un esempio del parametro VpcConfig che includi nella tua chiamata a CreateModel:

"VpcConfig": { "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] }

È possibile specificare il numero di istanze dell'endpoint shadow da avviare con il initial_instance_count parametro della configurazione di analisi per il processo di elaborazione Clarify. SageMaker In alternativa, se utilizzi l'SageMakerClarifyProcessorAPI nell'SDK SageMaker AI Python, il lavoro deve ottenere instance_count quanto specificato dalla classe. ModelConfig

Nota

Anche se richiedi solo un'istanza durante la creazione dell'endpoint shadow, hai bisogno di almeno due sottoreti nelle zone di disponibilità del modello in zone di ModelConfigdisponibilità distinte. In caso contrario, la creazione dell'endpoint shadow non riesce con il seguente errore:

ClientError: Errore nell'hosting dell'endpoint sagemaker-clarify-endpoint-XXX: non riuscito. Motivo: impossibile individuare almeno 2 zone di disponibilità con il tipo di istanza richiesto YYY che si sovrappongono alle sottoreti AI SageMaker .

Se il tuo modello richiede file di modello in Amazon S3, il modello Amazon VPC deve avere un endpoint VPC Amazon S3. Per ulteriori informazioni sulla creazione e configurazione di modelli Amazon VPC SageMaker per l'intelligenza artificiale, consulta. Offri agli endpoint ospitati dall' SageMaker intelligenza artificiale l'accesso alle risorse nel tuo Amazon VPC

Configura il tuo Amazon VPC privato per SageMaker i lavori di Clarify

In generale, puoi seguire i passaggi in Configurazione del tuo VPC privato per l' SageMaker elaborazione per configurare i tuoi lavori privati di Amazon VPC for Clarify. SageMaker Ecco alcuni punti salienti e requisiti speciali per SageMaker le offerte di lavoro di Clarify.

Connessione alle risorse al di fuori del tuo Amazon VPC

Se configuri Amazon VPC in modo che non abbia accesso pubblico a Internet, sono necessarie alcune configurazioni aggiuntive per concedere ai lavori di SageMaker Clarify l'accesso a risorse e servizi esterni al tuo Amazon VPC. Ad esempio, è necessario un endpoint VPC Amazon S3 perché un job SageMaker Clarify deve caricare un set di dati da un bucket S3 e salvare i risultati dell'analisi in un bucket S3. Per ulteriori informazioni, consulta Creare un endpoint VPC Amazon S3 per la guida alla creazione. Inoltre, se un job SageMaker Clarify deve ottenere inferenze dall'endpoint shadow, deve chiamare diversi altri servizi. AWS

  • Crea un endpoint VPC del servizio Amazon SageMaker API: il job SageMaker Clarify deve chiamare il servizio SageMaker API Amazon per manipolare l'endpoint shadow o descrivere un modello di intelligenza artificiale SageMaker per la convalida di Amazon VPC. Puoi seguire le indicazioni fornite nel AWS PrivateLink blog Securing all Amazon SageMaker API call with per creare un endpoint Amazon SageMaker API VPC che consenta al job Clarify di effettuare SageMaker le chiamate di servizio. Tieni presente che il nome del servizio Amazon SageMaker API ècom.amazonaws.region.sagemaker.api, dove region è il nome della regione in cui risiede il tuo Amazon VPC.

  • Crea un endpoint VPC Amazon SageMaker AI Runtime: il job SageMaker Clarify deve chiamare il servizio di runtime Amazon SageMaker AI, che indirizza le chiamate all'endpoint shadow. I passaggi di configurazione sono simili a quelli del servizio Amazon SageMaker API. Tieni presente che il nome del servizio Amazon SageMaker AI Runtime ècom.amazonaws.region.sagemaker.runtime, dove region è il nome della regione in cui risiede il tuo Amazon VPC.

Configurazione del gruppo di sicurezza di Amazon VPC

SageMaker I job di Clarify supportano l'elaborazione distribuita quando due o più istanze di elaborazione vengono specificate in uno dei seguenti modi:

Nell'elaborazione distribuita, devi consentire la comunicazione tra diverse istanze nello stesso processo di elaborazione. A tale scopo, configura una regola per il gruppo di sicurezza che consente connessioni in entrata tra i membri dello stesso gruppo di sicurezza. Per informazioni, consulta Regole del gruppo di sicurezza.