Consenti ad Amazon SageMaker Clarify Jobs di accedere alle risorse del tuo Amazon VPC - Amazon SageMaker

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Consenti ad Amazon SageMaker Clarify Jobs di accedere alle risorse del tuo Amazon VPC

Per controllare l'accesso ai tuoi dati e ai lavori di SageMaker Clarify, ti consigliamo di creare un Amazon privato VPC e configurarlo in modo che i tuoi lavori non siano accessibili sulla rete Internet pubblica. Per informazioni sulla creazione e configurazione di un Amazon VPC per i lavori di elaborazione, consulta Concedi ai processi di SageMaker elaborazione l'accesso alle risorse nella tua Amazon VPC.

Questo documento spiega come aggiungere VPC configurazioni Amazon aggiuntive che soddisfino i requisiti per i lavori SageMaker Clarify.

Configurazione di un lavoro SageMaker Clarify per Amazon Access VPC

È necessario specificare sottoreti e gruppi di sicurezza durante la configurazione dei job privati di Amazon VPC for SageMaker Clarify e consentire al job di ottenere inferenze dal modello durante il calcolo delle metriche di distorsione post-formazione e dei contributi alle funzionalità che aiutano a spiegare le previsioni del SageMaker modello.

SageMaker Clarify Job Amazon, VPC sottoreti e gruppi di sicurezza

Le sottoreti e i gruppi di sicurezza del tuo Amazon privato VPC possono essere assegnati a un job SageMaker Clarify in vari modi, a seconda di come crei il lavoro.

  • SageMaker console: fornisci queste informazioni quando crei il lavoro nella Dashboard. SageMaker Dal menu Elaborazione, scegli Processi di elaborazione, quindi scegli Crea processo di elaborazione. Seleziona l'VPCopzione nel pannello Rete e fornisci le sottoreti e i gruppi di sicurezza utilizzando gli elenchi a discesa. Assicurati che l'opzione di isolamento della rete fornita in questo pannello sia disattivata.

  • SageMaker API: Utilizzate il parametro NetworkConfig.VpcConfig request di CreateProcessingJobAPI, come illustrato nell'esempio seguente:

    "NetworkConfig": { "VpcConfig": { "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] } }
  • SageMaker Python SDK: usa il NetworkConfig parametro SageMakerClarifyProcessorAPIor ProcessorAPI, come mostrato nell'esempio seguente:

    from sagemaker.network import NetworkConfig network_config = NetworkConfig( subnets=[ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2", ], security_group_ids=[ "sg-0123456789abcdef0", ], )

SageMaker utilizza le informazioni per creare interfacce di rete e collegarle al job SageMaker Clarify. Le interfacce di rete forniscono un lavoro SageMaker Clarify con una connessione di rete all'interno di Amazon VPC che non è connessa alla rete Internet pubblica. Consentono inoltre al job SageMaker Clarify di connettersi alle risorse del tuo Amazon VPC privato.

Nota

L'opzione di isolamento della rete del job SageMaker Clarify deve essere disattivata (per impostazione predefinita l'opzione è disattivata) in modo che il job SageMaker Clarify possa comunicare con l'endpoint shadow.

Configurazione di un modello Amazon VPC for Inference

Per calcolare le metriche di distorsione e la spiegabilità post-allenamento, il job SageMaker Clarify deve ottenere inferenze dal SageMaker modello specificato dal model_name parametro della configurazione di analisi per il processo di elaborazione di Clarify. SageMaker In alternativa, se usi il SageMakerClarifyProcessor API in SageMaker PythonSDK, il lavoro deve ottenere model_name quanto specificato dalla ModelConfigclasse. A tale scopo, il job SageMaker Clarify crea un endpoint temporaneo con il modello, noto come endpoint shadow, e quindi applica la VPC configurazione Amazon del modello all'endpoint shadow.

Per specificare al SageMaker modello sottoreti e gruppi di sicurezza nella tua Amazon VPC privata, utilizza il parametro VpcConfig request di CreateModelAPIo fornisci queste informazioni quando crei il modello utilizzando la SageMaker dashboard nella console. Di seguito viene mostrato un esempio del parametro VpcConfig che includi nella tua chiamata a CreateModel:

"VpcConfig": { "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] }

È possibile specificare il numero di istanze dell'endpoint shadow da avviare con il initial_instance_count parametro della configurazione di analisi per il SageMaker processo di elaborazione Clarify. In alternativa, se usi il SageMakerClarifyProcessor API in SageMaker PythonSDK, il lavoro deve ottenere instance_count quanto specificato dalla ModelConfigclasse.

Nota

Anche se richiedi solo un'istanza durante la creazione dell'endpoint shadow, hai bisogno di almeno due sottoreti nelle zone di disponibilità del modello in zone di disponibilità ModelConfigdistinte. In caso contrario, la creazione dell'endpoint shadow non riesce con il seguente errore:

ClientError: Errore nell'hosting dell'endpoint sagemaker-clarify-endpoint-XXX: non riuscito. Motivo: impossibile individuare almeno 2 zone di disponibilità con il tipo di istanza richiesto YYY che si sovrappongono alle SageMaker sottoreti.

Se il tuo modello richiede file di modello in Amazon S3, il modello VPC deve avere un endpoint Amazon VPC S3. Per ulteriori informazioni sulla creazione e la configurazione di Amazon VPC for SageMaker models, consultaOffri agli endpoint SageMaker ospitati l'accesso alle risorse nel tuo Amazon VPC.

Configura i tuoi lavori privati su Amazon VPC for SageMaker Clarify

In generale, puoi seguire la procedura descritta in Configure Your Private VPC for SageMaker Processing per configurare i tuoi job privati di Amazon VPC for SageMaker Clarify. Ecco alcuni punti salienti e requisiti speciali per le offerte di lavoro di SageMaker Clarify.

Connettiti a risorse esterne al tuo Amazon VPC

Se configuri Amazon VPC in modo che non disponga di accesso pubblico a Internet, è necessaria una configurazione aggiuntiva per consentire a SageMaker Clarify Jobs di accedere a risorse e servizi esterni ad AmazonVPC. Ad esempio, è necessario un VPC endpoint Amazon S3 perché un job SageMaker Clarify deve caricare un set di dati da un bucket S3 e salvare i risultati dell'analisi in un bucket S3. Per ulteriori informazioni, consulta Create an Amazon S3 VPC Endpoint per la guida alla creazione. Inoltre, se un job SageMaker Clarify deve ottenere inferenze dall'endpoint shadow, deve chiamare diversi altri servizi. AWS

  • Crea un VPC endpoint del SageMaker API servizio Amazon: il job SageMaker Clarify deve chiamare il SageMaker API servizio Amazon per manipolare l'endpoint shadow o per descrivere un modello SageMaker per la convalida di Amazon. VPC Puoi seguire le indicazioni fornite nel AWS PrivateLink blog Securing all Amazon SageMaker API calls with per creare un SageMaker API VPC endpoint Amazon che consenta al job SageMaker Clarify di effettuare le chiamate di servizio. Tieni presente che il nome del SageMaker API servizio Amazon ècom.amazonaws.region.sagemaker.api, dove region è il nome della regione in cui VPC risiede il tuo Amazon.

  • Crea un Amazon SageMaker Runtime VPC Endpoint: il job SageMaker Clarify deve chiamare il servizio Amazon SageMaker Runtime, che indirizza le chiamate all'endpoint shadow. I passaggi di configurazione sono simili a quelli del SageMaker API servizio Amazon. Tieni presente che il nome del servizio Amazon SageMaker Runtime ècom.amazonaws.region.sagemaker.runtime, dove region è il nome della regione in cui VPC risiede il tuo Amazon.

Configurazione dell'Amazon VPC Security Group

SageMaker I job di Clarify supportano l'elaborazione distribuita quando due o più istanze di elaborazione vengono specificate in uno dei seguenti modi:

Nell'elaborazione distribuita, devi consentire la comunicazione tra diverse istanze nello stesso processo di elaborazione. A tale scopo, configura una regola per il gruppo di sicurezza che consente connessioni in entrata tra i membri dello stesso gruppo di sicurezza. Per informazioni, consulta Regole del gruppo di sicurezza.