Donnez à Amazon SageMaker Clarify Jobs l'accès aux ressources de votre Amazon VPC - Amazon SageMaker

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Donnez à Amazon SageMaker Clarify Jobs l'accès aux ressources de votre Amazon VPC

Pour contrôler l'accès à vos données et SageMaker clarifier les tâches, nous vous recommandons de créer un Amazon VPC privé et de le configurer de manière à ce que vos tâches ne soient pas accessibles sur Internet public. Pour plus d'informations sur la création et la configuration d'un Amazon VPC pour le traitement des tâches, consultez Autoriser les tâches de SageMaker traitement à accéder aux ressources de votre Amazon VPC.

Ce document explique comment ajouter des configurations Amazon VPC supplémentaires répondant aux exigences des tâches SageMaker Clarify.

Configurer une tâche SageMaker Clarify pour Amazon VPC Access

Vous devez spécifier des sous-réseaux et des groupes de sécurité lors de la configuration de votre Amazon VPC privé SageMaker pour les tâches Clarify et permettre à la tâche d'obtenir des inférences à partir du modèle lors du calcul des mesures de biais après SageMaker l'entraînement et des contributions aux fonctionnalités qui aident à expliquer les prédictions du modèle.

SageMaker Clarifier les sous-réseaux et groupes de sécurité Amazon VPC de Job

Les sous-réseaux et les groupes de sécurité de votre Amazon VPC privé peuvent être affectés à SageMaker une tâche Clarify de différentes manières, en fonction de la manière dont vous créez la tâche.

  • SageMaker console : fournissez ces informations lorsque vous créez la tâche dans le SageMakertableau de bord. De le menu Processing (Traitement), choisissez Processing jobs (Tâches de traitement), puis choisissez Create processing job (Créer une tâche de traitement). Sélectionnez l'option VPC dans le panneau Network (Réseau) et indiquez les sous-réseaux et les groupes de sécurité à l'aide des listes déroulantes. Assurez-vous que l'option d'isolement réseau fournie dans ce panneau est désactivée.

  • SageMaker API : utilisez le paramètre de NetworkConfig.VpcConfig requête de l'CreateProcessingJobAPI, comme indiqué dans l'exemple suivant :

    "NetworkConfig": { "VpcConfig": { "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] } }
  • SageMaker SDK Python : utilisez le NetworkConfig paramètre de l'SageMakerClarifyProcessorAPI ou de l'ProcessorAPI, comme indiqué dans l'exemple suivant :

    from sagemaker.network import NetworkConfig network_config = NetworkConfig( subnets=[ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2", ], security_group_ids=[ "sg-0123456789abcdef0", ], )

SageMaker utilise les informations pour créer des interfaces réseau et les associer à la tâche SageMaker Clarify. Les interfaces réseau fournissent une tâche SageMaker Clarify avec une connexion réseau au sein de votre Amazon VPC qui n'est pas connectée à l'Internet public. Ils permettent également à la tâche SageMaker Clarify de se connecter aux ressources de votre Amazon VPC privé.

Note

L'option d'isolation réseau de la tâche SageMaker Clarify doit être désactivée (par défaut, l'option est désactivée) afin que la tâche SageMaker Clarify puisse communiquer avec le point de terminaison fantôme.

Configuration d'un modèle Amazon VPC pour l'inférence

Afin de calculer les mesures de biais et l'explicabilité après l'entraînement, la tâche SageMaker Clarify doit obtenir des inférences à partir du SageMaker modèle spécifié par le model_name paramètre de configuration d'analyse pour la SageMaker tâche de traitement Clarify. Sinon, si vous utilisez l'SageMakerClarifyProcessorAPI du SDK SageMaker Python, la tâche doit obtenir la valeur model_name spécifiée par la ModelConfigclasse. Pour ce faire, la tâche SageMaker Clarify crée un point de terminaison éphémère avec le modèle, connu sous le nom de point de terminaison fantôme, puis applique la configuration Amazon VPC du modèle au point de terminaison fantôme.

Pour spécifier des sous-réseaux et des groupes de sécurité dans votre Amazon VPC privé pour SageMaker le modèle, utilisez le paramètre de requête de VpcConfig CreateModell'API ou fournissez ces informations lorsque vous créez le modèle à l'aide du tableau de bord de SageMaker la console. Voici un exemple du paramètre VpcConfig que vous incluez dans votre appel à CreateModel :

"VpcConfig": { "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] }

Vous pouvez spécifier le nombre d'instances du point de terminaison fantôme à lancer à l'aide du initial_instance_count paramètre de configuration d'analyse pour la tâche de traitement SageMaker Clarify. Sinon, si vous utilisez l'SageMakerClarifyProcessorAPI du SDK SageMaker Python, la tâche doit obtenir la valeur instance_count spécifiée par la ModelConfigclasse.

Note

Même si vous ne demandez qu'une seule instance lors de la création du point de terminaison fantôme, vous avez besoin d'au moins deux sous-réseaux dans le modèle, ModelConfigdans des zones de disponibilité distinctes. Sinon, la création du point de terminaison fantôme échoue avec l'erreur suivante :

ClientError: Erreur lors de l'hébergement du point de terminaison sagemaker-clarify-endpoint -XXX : échec. Raison : Impossible de localiser au moins 2 zones de disponibilité avec le type d'instance demandé YYY qui se chevauchent avec des SageMaker sous-réseaux.

Si votre modèle nécessite des fichiers de modèle dans Amazon S3, le modèle Amazon VPC doit disposer d'un point de terminaison Amazon S3 VPC. Pour plus d'informations sur la création et la configuration d'un Amazon VPC pour les SageMaker modèles, consultez. Donnez aux points de terminaison SageMaker hébergés l'accès aux ressources de votre Amazon VPC

Configurez votre Amazon VPC privé pour SageMaker les tâches Clarify

En général, vous pouvez suivre les étapes décrites dans Configurer votre VPC privé pour le SageMaker traitement afin de configurer votre VPC Amazon privé pour les tâches Clarify. SageMaker Voici quelques points saillants et exigences particulières pour les tâches SageMaker Clarify.

Connexion à des ressources en dehors de votre Amazon VPC

Si vous configurez votre Amazon VPC de manière à ce qu'il ne dispose pas d'un accès public à Internet, une configuration supplémentaire est nécessaire pour autoriser les tâches SageMaker Clarify à accéder à des ressources et à des services extérieurs à votre Amazon VPC. Par exemple, un point de terminaison Amazon S3 VPC est requis car une tâche SageMaker Clarify doit charger un ensemble de données à partir d'un compartiment S3 et enregistrer les résultats de l'analyse dans un compartiment S3. Pour de plus amples informations, veuillez consulter Créer un point de terminaison VPC Amazon S3 pour le guide de création. En outre, si une tâche SageMaker Clarify doit obtenir des déductions à partir du point de terminaison fantôme, elle doit appeler plusieurs autres AWS services.

  • Création d'un point de terminaison VPC du service Amazon SageMaker API : la tâche SageMaker Clarify doit appeler le service d' SageMaker API Amazon pour manipuler le point de terminaison fantôme ou pour décrire un SageMaker modèle de validation Amazon VPC. Vous pouvez suivre les instructions fournies dans le AWS PrivateLink blog Sécuriser tous les appels d' SageMaker API Amazon avec pour créer un point de terminaison VPC Amazon SageMaker API permettant à la tâche SageMaker Clarify de passer les appels de service. Notez que le nom du service Amazon SageMaker API estcom.amazonaws.region.sagemaker.api, où la région est le nom de la région où réside votre Amazon VPC.

  • Créez un point de terminaison VPC Amazon SageMaker Runtime : la tâche SageMaker Clarify doit appeler le service SageMaker d'exécution Amazon, qui achemine les appels vers le point de terminaison fantôme. Les étapes de configuration sont similaires à celles du service Amazon SageMaker API. Notez que le nom du service Amazon SageMaker Runtime estcom.amazonaws.region.sagemaker.runtime, où la région est le nom de la région où réside votre Amazon VPC.

Configurer le groupe de sécurité Amazon VPC

SageMaker Les tâches Clarify prennent en charge le traitement distribué lorsque deux instances de traitement ou plus sont spécifiées de l'une des manières suivantes :

  • SageMaker console : le nombre d'instances est spécifié dans la partie Configuration des ressources du panneau des paramètres de la tâche sur la page Créer une tâche de traitement.

  • SageMaker API : elle InstanceCount est spécifiée lorsque vous créez la tâche avec l'CreateProcessingJobAPI.

  • SageMaker SDK Python : le instance_count est spécifié lors de l'utilisation de l'SageMakerClarifyProcessorAPI ou de l'API du processeur.

Dans un traitement distribué, vous devez autoriser la communication entre les différentes instances d'une même tâche de traitement. Pour ce faire, configurez une règle pour votre groupe de sécurité qui autorise les connexions entrantes entre les membres du même groupe de sécurité. Pour obtenir des informations, veuillez consulter Règles des groupes de sécurité.