Einrichtung für die Verwendung von EI - Amazon SageMaker

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichtung für die Verwendung von EI

Folgen Sie den Anweisungen in diesem Thema nur, wenn einer der folgenden Punkte auf Sie zutrifft:

  • Sie möchten eine benutzerdefinierte Rolle oder Berechtigungsrichtlinie verwenden.

  • Sie möchten eine VPC für Ihr gehostetes Modell oder Ihre Notebook-Instance verwenden.

Anmerkung

Wenn Sie bereits über eine Ausführungsrolle verfügen, die dasAmazonSageMakerFullAccessEine verwaltete -Richtlinie angefügt ist (dies gilt für jede IAM-Rolle, die Sie erstellen, wenn Sie eine Notebook-Instance, einen Schulungsauftrag oder ein Modell in der Konsole erstellen), und Sie keine Verbindung zu einem EI-Modell oder einer Notebook-Instance in einer VPC herstellen, müssen Sie keine dieser Änderungen vornehmen, um EI in Amazon SageMaker zu verwenden.

Einrichten erforderlicher Berechtigungen

Um EI in SageMaker zu verwenden, muss an die Rolle, die Sie zum Öffnen einer Notebook-Instance oder Erstellen eines bereitstellbaren Modells verwenden, eine Richtlinie mit den erforderlichen Berechtigungen angefügt sein. Sie können die verwaltete AmazonSageMakerFullAccess-Richtlinie, die die erforderlichen Berechtigungen enthält, an die Rolle anfügen oder eine benutzerdefinierte Richtlinie hinzufügen, die über die erforderlichen Berechtigungen verfügt. Weitere Informationen zum Erstellen einer IAM-Rolle finden Sie unterErstellen einer Rolle für einAWSService (Konsole)imAWS Identity and Access Management-Benutzerhandbuchaus. Informationen zum Anfügen einer Richtlinie an eine Rolle finden Sie unter Hinzufügen und Entfernen von IAM-Richtlinien.

Fügen Sie diese Berechtigungen speziell zum Verbinden von EI in einer IAM-Richtlinie hinzu.

{ "Effect": "Allow", "Action": [ "elastic-inference:Connect", "ec2:DescribeVpcEndpoints" ], "Resource": "*" }

Die folgende IAM-Richtlinie ist die vollständige Liste der erforderlichen Berechtigungen zur Verwendung von EI in SageMaker.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elastic-inference:Connect", "ec2:DescribeVpcEndpoints" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sagemaker:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "ecr:BatchCheckLayerAvailability", "cloudwatch:PutMetricData", "cloudwatch:PutMetricAlarm", "cloudwatch:DescribeAlarms", "cloudwatch:DeleteAlarms", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeleteScheduledAction", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:PutScalingPolicy", "application-autoscaling:PutScheduledAction", "application-autoscaling:RegisterScalableTarget", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:GetLogEvents", "logs:PutLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } } ] }

Verwenden einer benutzerdefinierten VPC zum Herstellen einer Verbindung mit EI

Um EI mit SageMaker in einer VPC zu verwenden, müssen Sie zwei Sicherheitsgruppen erstellen und konfigurieren und einen PrivateLink-VPC-Schnittstellenendpunkt einrichten. EI verwendet den VPC-Schnittstellenendpunkt zur Kommunikation mit SageMaker-Endpunkten in Ihrer VPC. Die Sicherheitsgruppen, die Sie erstellen, werden verwendet, um eine Verbindung mit dem VPC-Schnittstellenendpunkt herzustellen.

Einrichten von Sicherheitsgruppen zum Herstellen einer Verbindung mit EI

Um EI innerhalb einer VPC zu verwenden, müssen Sie zwei Sicherheitsgruppen erstellen:

  • Eine Sicherheitsgruppe zum Steuern des Zugriffs auf den VPC-Schnittstelleendpunkt, den Sie für EI einrichten.

  • Eine Sicherheitsgruppe, die SageMaker ermöglicht, dass die erste Sicherheitsgruppe aufruft.

So konfigurieren Sie die beiden Sicherheitsgruppen

  1. Erstellen Sie eine Sicherheitsgruppe ohne ausgehende Verbindungen. Diese werden Sie an die VPC-Endpunktschnittstelle anfügen, die Sie im nächsten Abschnitt erstellen.

  2. Erstellen Sie eine zweite Sicherheitsgruppe ohne eingehenden Verbindungen, jedoch mit einer ausgehenden Verbindung zur ersten Sicherheitsgruppe.

  3. Bearbeiten Sie die erste Sicherheitsgruppe so, dass Sie nur eingehende Verbindungen mit der zweiten Sicherheitsgruppe bei allen ausgehenden Verbindungen zulässt.

Weitere Informationen zu VPC-Sicherheitsgruppen finden Sie unterSicherheitsgruppen für Ihre VPCimAmazon Virtual Private Cloud Cloud-Benutzerhandbuchaus.

Um EI mit SageMaker in einer benutzerdefinierten VPC zu verwenden, müssen Sie einen VPC-Schnittstellenendpunkt (PrivateLink) für den EI-Service einrichten.

  • Richten Sie einen VPC-Schnittstellenendpunkt (PrivateLink) für EI ein. Befolgen Sie die Anweisungen unter Erstellen eines Schnittstellenendpunkts. Wählen Sie in der Liste der Services com.amazonaws<region>.elastic-inference.runtime. Stellen Sie sicher, dass Sie für Security group (Sicherheitsgruppe) die erste Sicherheitsgruppe auswählen, die Sie im vorherigen Abschnitt für den Endpunkt erstellt haben.

  • Wenn Sie den Schnittstellenendpunkt einrichten, wählen Sie alle Availability Zones aus, in denen EI verfügbar ist. EI schlägt fehl, wenn Sie nicht mindestens zwei Availability Zones einrichten. Informationen zu VPC-Subnetzen finden Sie unter VPCs und Subnetze.