Configurazione per l'utilizzo di EI - Amazon SageMaker
Configurazione delle autorizzazioni richiesteUtilizzo di un VPC personalizzato per connettersi a EI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione per l'utilizzo di EI

Le istruzioni in questo argomento vanno seguite solo una di queste condizioni si applica al tuo caso:

  • Desideri utilizzare un ruolo o una policy di autorizzazione personalizzata.

  • Desideri utilizzare un VPC per il tuo modello ospitato o istanza del notebook.

Nota

Se disponi già di un ruolo di esecuzione a cui è associata la policy AmazonSageMakerFullAccess gestita (questo vale per qualsiasi ruolo IAM che crei quando crei un'istanza notebook, un processo di formazione o un modello nella console) e non ti connetti a un modello EI o un'istanza notebook in un VPC, non devi apportare nessuna di queste modifiche per utilizzare EI in Amazon. SageMaker

Configurazione delle autorizzazioni richieste

Per utilizzare EI in SageMaker, il ruolo utilizzato per aprire un'istanza di notebook o creare un modello distribuibile deve avere una policy con le autorizzazioni richieste allegate. Puoi collegare la policy gestita AmazonSageMakerFullAccess, che contiene le autorizzazioni necessarie, al ruolo oppure aggiungere una policy personalizzata con le autorizzazioni richieste. Per informazioni sulla creazione di un ruolo IAM, consulta Creating a Role for an AWS Service (Console) nella Guida per l'AWS Identity and Access Management utente. Per informazioni su come collegare una policy a un ruolo, consulta Adding and removing IAM policies.

Aggiungi queste autorizzazioni specifiche per la connessione di EI a una policy IAM.

{
    "Effect": "Allow",
    "Action": [
        "elastic-inference:Connect",
        "ec2:DescribeVpcEndpoints"
    ],
    "Resource": "*"
}

La seguente policy IAM è l'elenco completo delle autorizzazioni richieste per utilizzare EI in SageMaker.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elastic-inference:Connect",
                "ec2:DescribeVpcEndpoints"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchGetImage",
                "ecr:BatchCheckLayerAvailability",
                "cloudwatch:PutMetricData",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:DeleteAlarms",
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "application-autoscaling:DeleteScalingPolicy",
                "application-autoscaling:DeleteScheduledAction",
                "application-autoscaling:DeregisterScalableTarget",
                "application-autoscaling:DescribeScalableTargets",
                "application-autoscaling:DescribeScalingActivities",
                "application-autoscaling:DescribeScalingPolicies",
                "application-autoscaling:DescribeScheduledActions",
                "application-autoscaling:PutScalingPolicy",
                "application-autoscaling:PutScheduledAction",
                "application-autoscaling:RegisterScalableTarget",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:GetLogEvents",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "s3:ExistingObjectTag/SageMaker": "true"
                }
            }
        },
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "sagemaker.amazonaws.com"
                }
            }
        }
    ]
}

Utilizzo di un VPC personalizzato per connettersi a EI

Per utilizzare EI SageMaker in un VPC, devi creare e configurare due gruppi di sicurezza e configurare un endpoint di interfaccia PrivateLink VPC. EI utilizza l'endpoint dell'interfaccia VPC per comunicare con gli endpoint SageMaker nel tuo VPC. I gruppi di sicurezza creati vengono utilizzati per la connessione all'endpoint dell'interfaccia VPC.

Configurazione dei gruppi di sicurezza per la connessione a EI

Per utilizzare EI all'interno di un VPC, devi creare due gruppi di sicurezza:

  • Un gruppo di sicurezza per controllare l'accesso all'endpoint dell'interfaccia VPC, che verrà configurato per EI.

  • Un gruppo di sicurezza che consente di SageMaker chiamare il primo gruppo di sicurezza.

Per configurare i due gruppi di sicurezza

  1. Crea un gruppo di sicurezza senza connessioni in uscita. Questo gruppo può essere collegato all'interfaccia dell'endpoint VPC creata nella sezione successiva.

  2. Crea un secondo gruppo di sicurezza senza connessioni in entrata, ma con una connessione in uscita al primo gruppo di sicurezza.

  3. Modifica il primo gruppo di sicurezza per consentire le connessioni in entrata solo al secondo gruppo di sicurezza e tutte le connessioni in uscita.

Per ulteriori informazioni sui gruppi di sicurezza VPC, consulta Security Groups for Your VPC nella Guida per l'utente di Amazon Virtual Private Cloud.

Per utilizzare EI SageMaker in un VPC personalizzato, devi configurare un endpoint di interfaccia VPC (PrivateLink) per il servizio EI.

  • Configura un endpoint di interfaccia VPC (PrivateLink) per l'EI. Segui le istruzioni in Creating an interface endpoint. Nell'elenco dei servizi, scegli com.amazonaws<region>.elastic-inference.runtime. In Gruppo di sicurezza, assicurati di selezionare il primo gruppo di sicurezza creato nella sezione precedente per l'endpoint.

  • Quando configuri l'endpoint dell'interfaccia, scegli tutte le zone di disponibilità in cui EI è disponibile. EI non funziona se non configuri almeno due zone di disponibilità. Per informazioni sulle sottoreti VPC, consulta VPCs and Subnets.