翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Identity and Access Management の SageMaker HyperPod
AWS Identity and Access Management (IAM) は AWS 管理者が へのアクセスを安全に制御するのに役立つ サービス AWS リソースの使用料金を見積もることができます。IAM 管理者は、誰を認証 (サインイン) し、誰に Amazon EKSリソースの使用を承認する (アクセス許可を付与する) かを制御します。IAM は AWS 追加料金なしで使用できる サービス。
重要
Amazon SageMaker Studio または Amazon SageMaker Studio Classic が Amazon SageMaker リソースを作成できるようにするカスタムIAMポリシーでは、それらのリソースにタグを追加するアクセス許可も付与する必要があります。Studio と Studio Classic は、作成したリソースに自動的にタグ付けするため、リソースにタグを追加するアクセス許可が必要です。IAM ポリシーで Studio と Studio Classic がリソースの作成を許可されていてもタグ付けが許可されていない場合、リソースの作成時にAccessDenied「」エラーが発生する可能性があります。詳細については、「リソースにタグ付けするための SageMakerアクセス許可を提供する」を参照してください。
AWS Amazon の マネージドポリシー SageMaker SageMaker リソースを作成するアクセス許可を付与する には、それらのリソースの作成中にタグを追加するアクセス許可が既に含まれています。
クラスター管理者 SageMaker HyperPod ユーザーとデータサイエンティストユーザーの 2 つの主なレイヤーがあるとします。
-
クラスター管理者ユーザー – SageMaker HyperPod クラスターの作成と管理を担当します。これには、 HyperPod クラスターの設定とクラスターへのユーザーアクセスの管理が含まれます。
-
Slurm または Amazon を使用して SageMaker HyperPod クラスターを作成して設定しますEKS。
-
データサイエンティストユーザーと HyperPod クラスターリソースのIAMロールを作成して設定します。
-
Amazon との SageMaker HyperPod オーケストレーションではEKS、データサイエンスのユースケースを満たすために、EKSアクセスエントリ 、ロールベースのアクセスコントロール (RBAC)、ポッドアイデンティティ を作成して設定します。
-
-
データサイエンティストユーザー - ML モデルトレーニングに焦点を当てます。オープンソースのオーケストレーターまたは SageMaker HyperPod CLIを使用して、トレーニングジョブを送信および管理します。
-
クラスター管理者ユーザーが提供するIAMロールを引き受けて使用します。
-
(Slurm または Kubernetes) または でCLIs SageMaker HyperPodサポートされているオープンソースのオーケストレーターとやり取りして、クラスターの容量の確認、クラスターへの接続、ワークロードの送信を行います SageMaker HyperPod CLI。
-
クラスターを運用するための適切なアクセス許可またはポリシーをアタッチして、 SageMaker HyperPod クラスター管理者のIAMロールを設定します。クラスター管理者は、必要な を実行および通信するために引き受ける SageMaker HyperPod リソースに提供するIAMロールも作成する必要があります。 AWS Amazon S3、Amazon 、 CloudWatchなどの リソース AWS Systems Manager (SSM)。最後に、 AWS アカウント管理者またはクラスター管理者は、 SageMaker HyperPod クラスターにアクセスして ML ワークロードを実行するアクセス許可をサイエンティストに付与する必要があります。
選択したオーケストレーターによって、クラスター管理者とサイエンティストに必要なアクセス許可が異なる場合があります。サービスごとの条件キーを使用して、ロール内のさまざまなアクションのアクセス許可の範囲を制御することもできます。に関連するサービスの詳細なスコープを追加するには、次のサービス認証リファレンスを使用します SageMaker HyperPod。
-
Amazon Elastic Container Registry (Amazon との SageMaker HyperPod クラスターオーケストレーション用EKS)
-
Amazon Elastic Kubernetes Service (Amazon による SageMaker HyperPod クラスターオーケストレーション用EKS)
IAM クラスター管理者の ユーザー
クラスター管理者 (管理者) は SageMaker HyperPod クラスターを操作および設定し、 でタスクを実行しますSlurm によってオーケストレーションされた SageMaker HyperPod クラスターの管理。次のポリシー例には、クラスター管理者が SageMaker HyperPod コアを実行しAPIs、 内の SageMaker HyperPod クラスターを管理するための最小限のアクセス許可セットが含まれています。 AWS アカウント。
SageMaker コンソールへのアクセス許可を付与するには、「Amazon SageMaker コンソール を使用するために必要なアクセス許可」に記載されているサンプルポリシーを使用します。
Amazon EC2 Systems Manager コンソールへのアクセス許可を付与するには、「 の使用」に記載されているサンプルポリシーを使用します。 AWS Systems Manager の コンソール AWS Systems Manager ユーザーガイド。
また、AmazonSageMakerFullAccessポリシーをロールにアタッチすることを検討することもできます。ただし、AmazonSageMakerFullAccessポリシーは SageMaker API呼び出し、機能、リソース全体にアクセス許可を付与することに注意してください。
ユーザー全般のガイダンスについては、IAM「」のIAM「 ユーザー」を参照してください。 AWS Identity and Access Management ユーザーガイド。
IAM サイエンティストの ユーザー
サイエンティストは にログインし、 SageMaker HyperPod クラスター管理者によってプロビジョニングされたクラスターノードで ML ワークロードを実行します。のサイエンティスト向け AWS アカウント、 SSM start-session コマンドを実行する"ssm:StartSession"アクセス許可を付与する必要があります。IAM ユーザーのポリシーの例を次に示します。
IAM の ロール SageMaker HyperPod
SageMaker HyperPod クラスターを実行して必要な と通信するには AWS リソースでは、 HyperPod クラスターが引き受ける IAMロールを作成する必要があります。
まず、 マネージドロール をアタッチしますAWS マネージドポリシー: AmazonSageMakerHyperPodServiceRolePolicy。これを指定する AWS マネージドポリシー、 SageMaker HyperPod クラスターインスタンスグループは、Amazon 、Amazon S3 CloudWatch、および と通信するロールを引き受けます。 AWS Systems Manager エージェント (SSM エージェント)。この管理ポリシーは、 SageMaker HyperPod リソースが正しく実行されるための最小要件であるため、このポリシーを持つ IAMロールをすべてのインスタンスグループに提供する必要があります。
ヒント
複数のインスタンスグループのアクセス許可のレベルを設計することの設定に応じて、複数のIAMロールを設定し、異なるインスタンスグループにアタッチすることもできます。特定のクラスターノードへの SageMaker HyperPod クラスターユーザーアクセスを設定すると、ノードは手動でアタッチした選択的なアクセス許可を持つロールを引き受けます。
サイエンティストが を使用して特定のクラスターノードにアクセスできるようにする場合 AWS Systems Manager
IAM ロールの作成が完了したら、その名前と をメモしますARNs。 SageMaker HyperPod クラスターの作成時にロールを使用し、各インスタンスグループが必要な と通信するために必要な適切なアクセス許可を付与します。 AWS リソースの使用料金を見積もることができます。
