Configuración de implementación de modelos Modelado de la seguridad de la implementación Configure los valores predeterminados de los modelos JumpStart

Implementación de un modelo

Cuando despliega un modelo desde JumpStart, SageMaker aloja el modelo e implementa un punto final que puede usar para realizar inferencias. JumpStart también proporciona un ejemplo de bloc de notas que puede utilizar para acceder al modelo una vez implementado.

importante

A partir del 30 de noviembre de 2023, la experiencia anterior de Amazon SageMaker Studio pasa a denominarse Amazon SageMaker Studio Classic. La siguiente sección es específica para el uso de la aplicación Studio Classic. Para obtener información sobre el uso de la experiencia de Studio actualizada, consulteAmazon SageMaker Studio.

nota

Para obtener más información sobre la implementación de JumpStart modelos en Studio, consulte Implemente modelos básicos en Studio

Configuración de implementación de modelos

Tras elegir un modelo, se abre la pestaña del modelo. En el panel Implementar modelo, elija Configuración de implementación para configurar la implementación de su modelo.

Deploy Model pane option to open settings for SageMaker JumpStart Deployment Configuration and Security Settings.

El tipo de instancia predeterminado para implementar un modelo depende del modelo. El tipo de instancia es el hardware en el que se ejecuta el trabajo de entrenamiento. En el siguiente ejemplo, la instancia ml.p2.xlarge es la predeterminada para este modelo BERT concreto.

También puede cambiar el nombre del punto de conexión, añadir etiquetas de key;value recursos, activar o desactivar el jumpstart- prefijo de cualquier JumpStart recurso relacionado con el modelo y especificar un depósito de Amazon S3 para almacenar los artefactos del modelo utilizados por su SageMaker punto de conexión.

JumpStart Deploy Model pane with Deployment Configuration open to select its settings.

Elija Configuración de seguridad para especificar la función AWS Identity and Access Management (IAM), Amazon Virtual Private Cloud (Amazon VPC) y las claves de cifrado del modelo.

JumpStart Deploy Model pane with Security Settings open to select its settings.

Modelado de la seguridad de la implementación

Al implementar un modelo con JumpStart, puede especificar un rol de IAM, Amazon VPC y claves de cifrado para el modelo. Si no especificas ningún valor para estas entradas: la función de IAM predeterminada es la función de tiempo de ejecución de Studio Classic; se utiliza el cifrado predeterminado; no se utiliza Amazon VPC.

Rol de IAM

Puede seleccionar un rol de IAM que se asigne como parte de los trabajos de formación y alojamiento. SageMaker utiliza este rol para acceder a los datos de entrenamiento y modelar artefactos. Si no seleccionas un rol de IAM, SageMaker implementa el modelo con tu rol de tiempo de ejecución de Studio Classic. Para más información acerca de los roles de IAM, consulte Identity and Access Management para Amazon SageMaker.

El rol que asigne debe tener acceso a los recursos que el modelo necesita y debe incluir todo lo siguiente.

Para trabajos de formación: CreateTrainingJob API: permisos de rol de ejecución.
Para trabajos de hospedaje: CreateModel API: permisos de rol de ejecución.

nota

Puede reducir los permisos de Amazon S3 concedidos en cada uno de los siguientes roles. Para ello, utilice el ARN de su bucket de Amazon Simple Storage Service (Amazon S3) y del bucket de Amazon S3. JumpStart


{
  "Effect": "Allow",
  "Action": [
    "s3:GetObject",
    "s3:PutObject",
    "s3:ListMultipartUploadParts",
    "s3:ListBucket"
  ],
  "Resources": [
    "arn:aws:s3:::jumpstart-cache-prod-<region>/*",
    "arn:aws:s3:::jumpstart-cache-prod-<region>",
    "arn:aws:s3:::bucket/*"
  ]
}

Búsqueda del rol de IAM

Si selecciona esta opción, debe seleccionar un rol de IAM existente de la lista desplegable.

JumpStart Security Settings IAM section with Find IAM role selected.

Rol de IAM de entrada

Si selecciona esta opción, debe introducir manualmente el ARN de un rol de IAM existente. Si tu rol de tiempo de ejecución de Studio Classic o Amazon VPC bloquean la iam:list* llamada, debes usar esta opción para usar un rol de IAM existente.

JumpStart Security Settings IAM section with Input IAM role selected.

Amazon VPC

Todos los JumpStart modelos se ejecutan en modo de aislamiento de red. Una vez creado el contenedor del modelo, no se pueden realizar más llamadas. Puede seleccionar una VPC de Amazon que se apruebe como parte de los trabajos de formación y alojamiento. SageMaker utiliza esta VPC de Amazon para transferir y extraer recursos de su bucket de Amazon S3. Esta Amazon VPC es diferente de la Amazon VPC que limita el acceso a la Internet pública desde su instancia de Studio Classic. Para obtener más información sobre la Amazon VPC de Studio Classic, consulte. Conecte los blocs de notas de Studio de una VPC a recursos externos

La Amazon VPC que asigne no necesita acceso a la Internet pública, pero sí a Amazon S3. El punto de conexión de Amazon VPC para Amazon S3 debe permitir el acceso a, como mínimo, los siguientes recursos que necesita el modelo.


{
  "Effect": "Allow",
  "Action": [
    "s3:GetObject",
    "s3:PutObject",
    "s3:ListMultipartUploadParts",
    "s3:ListBucket"
  ],
  "Resources": [
    "arn:aws:s3:::jumpstart-cache-prod-<region>/*",
    "arn:aws:s3:::jumpstart-cache-prod-<region>",
    "arn:aws:s3:::bucket/*"
  ]
}

Si no selecciona una Amazon VPC, no se utilizará ninguna Amazon VPC.

Encontrar VPC

Si selecciona esta opción, debe seleccionar una Amazon VPC existente de la lista desplegable. Tras seleccionar una Amazon VPC, debe seleccionar una subred y un grupo de seguridad para su Amazon VPC. Para obtener más información acerca de las subredes y los grupos de seguridad, consulte Información general sobre VPC y subredes.

JumpStart Security Settings VPC section with Find VPC selected.

Especificar VPC

Si selecciona esta opción, debe seleccionar manualmente la subred y el grupo de seguridad que componen su Amazon VPC. Si su rol de tiempo de ejecución de Studio Classic o Amazon VPC bloquean la ec2:list* llamada, debe usar esta opción para seleccionar la subred y el grupo de seguridad.

JumpStart Security Settings VPC section with Input VPC selected.

Claves de cifrado

Puede seleccionar una AWS KMS clave que se transfiera como parte de los trabajos de formación y alojamiento. SageMaker utiliza esta clave para cifrar el volumen de Amazon EBS del contenedor y el modelo reempaquetado en Amazon S3 para alojar trabajos y el resultado para trabajos de formación. Para obtener más información sobre AWS KMS las claves, consulte claves.AWS KMS

La clave que asigne debe confiar en el rol de IAM que transfiera. Si no especificas una función de IAM, la AWS KMS clave debe confiar en tu función de tiempo de ejecución de Studio Classic.

Si no selecciona una AWS KMS clave, SageMaker proporciona un cifrado predeterminado para los datos del volumen de Amazon EBS y los artefactos de Amazon S3.

Búsqueda de las claves de cifrado

Si selecciona esta opción, debe seleccionar AWS KMS las claves existentes de la lista desplegable.

JumpStart Security Settings encryption section with Find encryption keys selected.

Especificar las claves de cifrado

Si selecciona esta opción, debe introducir las AWS KMS claves manualmente. Si su función de ejecución de Studio Classic o Amazon VPC bloquean la kms:list* llamada, debe usar esta opción para seleccionar las claves existentes AWS KMS .

JumpStart Security Settings encryption section with Input encryption keys selected.

Configure los valores predeterminados de los modelos JumpStart

Puede configurar los valores predeterminados para parámetros como las funciones de IAM, las VPC y las claves de KMS para rellenarlos previamente para la implementación y el entrenamiento del JumpStart modelo. Tras configurar los valores predeterminados, la interfaz de usuario de Studio Classic proporciona automáticamente las etiquetas y los ajustes de seguridad especificados a los JumpStart modelos para simplificar los flujos de trabajo de despliegue y entrenamiento. Los administradores y los usuarios finales pueden inicializar los valores predeterminados especificados en un archivo de configuración en formato YAML.

De forma predeterminada, el SDK de SageMaker Python usa dos archivos de configuración: uno para el administrador y otro para el usuario. Con el archivo de configuración del administrador, los administradores pueden definir un conjunto de valores predeterminados. Los usuarios finales pueden anular los valores establecidos en el archivo de configuración del administrador y establecer valores predeterminados adicionales mediante el archivo de configuración del usuario final. Para obtener más información, consulte Ubicación del archivo de configuración predeterminado.

En el siguiente ejemplo de código se enumeran las ubicaciones predeterminadas de los archivos de configuración cuando se utiliza el SDK de SageMaker Python en Amazon SageMaker Studio Classic.


# Location of the admin config file
/etc/xdg/sagemaker/config.yaml

# Location of the user config file
/root/.config/sagemaker/config.yaml

Los valores especificados en el archivo de configuración del usuario anulan los valores establecidos en el archivo de configuración del administrador. El archivo de configuración es único para cada perfil de usuario de un SageMaker dominio de Amazon. La aplicación Studio Classic del perfil de usuario está directamente asociada al perfil de usuario. Para obtener más información, consulte Perfiles de usuario del dominio.

Los administradores pueden establecer, de forma opcional, los valores predeterminados de configuración para el entrenamiento y el despliegue de JumpStart modelos mediante configuraciones JupyterServer del ciclo de vida. Para obtener más información, consulte Creación y asociación de una configuración del ciclo de vida.

El archivo de configuración debe ajustarse a la estructura del archivo de configuración del SDK de SageMaker Python. Tenga en cuenta que los campos específicos de las EndpointConfig configuraciones TrainingJobModel, y se aplican a los valores predeterminados de entrenamiento e implementación del JumpStart modelo.


SchemaVersion: '1.0'
SageMaker:
  TrainingJob:
    OutputDataConfig:
      KmsKeyId: example-key-id
    ResourceConfig:
      # Training configuration - Volume encryption key
      VolumeKmsKeyId: example-key-id
    # Training configuration form - IAM role
    RoleArn: arn:aws:iam::123456789012:role/SageMakerExecutionRole
    VpcConfig:
      # Training configuration - Security groups
      SecurityGroupIds:
      - sg-1
      - sg-2
      # Training configuration - Subnets
      Subnets:
      - subnet-1
      - subnet-2
    # Training configuration - Custom resource tags
    Tags:
    - Key: Example-key
      Value: Example-value
  Model:
    EnableNetworkIsolation: true
    # Deployment configuration - IAM role
    ExecutionRoleArn: arn:aws:iam::123456789012:role/SageMakerExecutionRole
    VpcConfig:
      # Deployment configuration - Security groups
      SecurityGroupIds:
      - sg-1
      - sg-2
      # Deployment configuration - Subnets
      Subnets:
      - subnet-1
      - subnet-2
  EndpointConfig:
    AsyncInferenceConfig:
      OutputConfig:
        KmsKeyId: example-key-id
    DataCaptureConfig:
      # Deployment configuration - Volume encryption key
      KmsKeyId: example-key-id
    KmsKeyId: example-key-id
    # Deployment configuration - Custom resource tags
    Tags:
    - Key: Example-key
      Value: Example-value

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Modelos específicos para tareas

Ajuste de un modelo