Configuration - Amazon SageMaker

Configuration

Avant de commencer à utiliser SageMaker Edge Manager pour gérer des modèles sur vos flottes de périphériques, vous devez d'abord créer des rôles IAM pour SageMaker et AWS IoT. Vous devez également créer au moins un compartiment Amazon S3 où vous stockerez votre modèle pré-entraîné, la sortie de votre tâche de compilation SageMaker Neo, et les données d'entrée de vos dispositifs périphériques.

  1. Configurez un compte AWS.

    Créez un compte AWS et un utilisateur administrateur IAM. Pour obtenir des instructions sur la configuration de votre compte AWS, veuillez consulter Comment créer et activer un nouveau compte AWS ?) Pour obtenir des instructions sur la création d'un utilisateur administrateur dans votre compte AWS, veuillez consulter Creating your first IAM admin user and group (Créer votre premier utilisateur administrateur et groupe IAM).

  2. Créez un rôle IAM pour Amazon SageMaker.

    SageMaker Edge Manager doit accéder à l'URI de votre compartiment Amazon S3. Pour cela, créez un rôle IAM capable d'exécuter SageMaker et disposant de l'autorisation d'accéder à Amazon S3. Grâce à ce rôle, SageMaker peut s'exécuter sous votre compte et accéder à votre compartiment Amazon S3.

    Vous pouvez créer un rôle IAM à l'aide de la console IAM, du kit AWS SDK for Python (Boto3), ou de l'AWS CLI. Voici un exemple de la création d'un rôle IAM et de l'attachement des politiques nécessaires avec la console IAM.

    1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

    2. Dans le panneau de navigation de la console IAM, sélectionnez Roles (Rôles), puis Create role (Créer un rôle).

    3. Pour Select type of trusted entity (Sélectionner le type d'entité de confiance), choisissez Service AWS.

    4. Choisissez le service que vous voulez autoriser à endosser ce rôle. Dans ce cas, choisissez SageMaker. Choisissez ensuite Suivant : Autorisations.

      • Cela crée automatiquement une politique IAM qui accorde l'accès aux services associés tels qu'Amazon S3, Amazon ECR et CloudWatch Logs.

    5. Choisissez Next: Tags (Suivant : Identifications).

    6. (Facultatif) Ajoutez des métadonnées au rôle en associant les identifications sous forme de paires clé-valeur. Pour de plus amples informations sur l'utilisation de balises dans IAM, veuillez consulter Tagging IAM resources (Balisage de ressources IAM).

    7. Choisissez Suivant : Examiner.

    8. Saisissez un Role name (Nom de rôle).

    9. Si possible, saisissez un nom de rôle ou un suffixe de nom de rôle. Les noms de rôle de votre compte AWS doivent être uniques. Ils ne sont pas sensibles à la casse. Par exemple, vous ne pouvez pas créer deux rôles nommés PRODROLE et prodrole. Vous ne pouvez pas modifier le nom du rôle après sa création, car d'autres ressources AWS pourraient le référencer.

    10. (Facultatif) Dans le champ Role description (Description du rôle), saisissez la description du nouveau rôle.

    11. Passez en revue les informations du rôle, puis choisissez Créer un rôle.

      Notez l'ARN du rôle SageMaker, que vous utilisez pour créer une tâche de compilation avec SageMaker Neo et une tâche d'empaquetage avec Edge Manager. Pour connaître l'ARN du rôle à l'aide de la console, procédez comme suit :

      1. Accédez à la console IAM : https://console.aws.amazon.com/iam/

      2. Sélectionnez Roles (Rôles).

      3. Recherchez le rôle que vous venez de créer en saisissant son nom dans le champ Recherche.

      4. Sélectionnez le rôle.

      5. L'ARN du rôle figure en haut de la page Summary (Récapitulatif).

  3. Créez un rôle IAM pour AWS IoT.

    Le rôle IAM AWS IoT que vous créez sert à autoriser vos objets IoT. Vous utilisez également l'ARN du rôle IAM pour créer et enregistrer des flottes de périphériques avec un objet client SageMaker.

    Configurez un rôle IAM dans votre compte AWS que le fournisseur d'informations d'identification assumera au nom des dispositifs de votre flotte. Ensuite, attachez une politique pour autoriser vos dispositifs à interagir avec les services AWS IoT.

    Créez un rôle pour l'AWS IoT soit par programmation, soit avec la console IAM, comme vous l'avez fait pour créer un rôle pour SageMaker.

    1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

    2. Dans le panneau de navigation de la console IAM, sélectionnez Roles (Rôles), puis Create role (Créer un rôle).

    3. Pour Select type of trusted entity (Sélectionner le type d'entité de confiance), choisissez Service AWS.

    4. Choisissez le service que vous voulez autoriser à endosser ce rôle. Dans ce cas, choisissez IoT. Sélectionnez IoT comme Use Case (Cas d'utilisation).

    5. Sélectionnez Next: Permissions (Étape suivante : autorisations).

    6. Choisissez Next: Tags (Suivant : Identifications).

    7. (Facultatif) Ajoutez des métadonnées au rôle en associant les identifications sous forme de paires clé-valeur. Pour de plus amples informations sur l'utilisation de balises dans IAM, veuillez consulter Tagging IAM resources (Balisage de ressources IAM).

    8. Choisissez Suivant : Examiner.

    9. Saisissez un Role Name (Nom de rôle). Le nom du rôle doit commencer par SageMaker.

    10. (Facultatif) Dans le champ Role description (Description du rôle), saisissez la description du nouveau rôle.

    11. Passez en revue les informations du rôle, puis choisissez Créer un rôle.

    12. Une fois le rôle créé, choisissez Roles (Rôles) dans la console IAM. Recherchez le rôle que vous avez créé en saisissant son nom dans le champ Search (Recherche).

    13. Choisissez votre rôle.

    14. Ensuite, choisissez Attach Policies (Attacher des politiques).

    15. Recherchez AmazonSageMakerEdgeDeviceFleetPolicy dans le champ Search (Recherche). Sélectionnez AmazonSageMakerEdgeDeviceFleetPolicy.

    16. Choisissez Attach policy (Attacher une politique).

    17. Ajoutez l'instruction de politique suivante à la relation de confiance :

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"Service": "credentials.iot.amazonaws.com"}, "Action": "sts:AssumeRole" }, { "Effect": "Allow", "Principal": {"Service": "sagemaker.amazonaws.com"}, "Action": "sts:AssumeRole" } ] }

      Une politique de confiance est un document de politique JSON dans lequel vous définissez les mandataires auxquels vous faites confiance pour assumer le rôle. Pour de plus amples informations sur les politiques de confiance, veuillez consulter Roles terms and concepts (Termes et concepts relatifs aux rôles).

    18. Notez l'ARN du rôle AWS IoT. Vous utilisez l'ARN du rôle AWS IoT pour créer et enregistrer la flotte de dispositifs. Pour trouver l'ARN du rôle IAM avec la console :

      1. Accédez à la console IAM : https://console.aws.amazon.com/iam/

      2. Sélectionnez Roles (Rôles).

      3. Recherchez le rôle que vous avez créé en saisissant son nom dans le champ Search (Recherche).

      4. Sélectionnez le rôle.

      5. L'ARN du rôle figure sur la page Summary (Récapitulatif).

  4. Créez un compartiment Amazon S3.

    SageMaker Neo et Edge Manager accèdent à vos modèles pré-compilés et compilés à partir d'un compartiment Amazon S3. Edge Manager stocke également des exemples de données de votre flotte de périphériques dans Amazon S3.

    1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

    2. Choisissez Créer un compartiment.

    3. Pour Bucket name (Nom de compartiment), saisissez un nom pour le compartiment.

    4. Dans Region (Région), choisissez la région AWS dans laquelle le compartiment doit résider.

    5. Dans Bucket settings for Block Public Acces (Paramètres de compartiment pour bloquer l'accès public), choisissez les paramètres que vous voulez appliquer au compartiment.

    6. Choisissez Créer un compartiment.

    Pour de plus amples informations sur la création de compartiments Amazon S3, veuillez consulter Getting started with Amazon S3 (Démarrer avec Amazon S3).