Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration pour utiliser EI
Suivez les instructions de cette rubrique uniquement si votre situation correspond aux cas suivants :
-
vous souhaitez utiliser un rôle personnalisé ou une stratégie d'autorisation ;
-
vous souhaitez utiliser un VPC pour votre modèle hébergé ou votre instance de bloc-notes.
Note
Si vous possédez déjà un rôle d'exécution auquel est attachée la politique AmazonSageMakerFullAccess gérée (cela est vrai pour tout rôle IAM que vous créez lorsque vous créez une instance de bloc-notes, une tâche de formation ou un modèle dans la console) et que vous ne vous connectez pas à un modèle EI ou à une instance de bloc-notes dans un VPC, vous n'avez pas besoin d'apporter ces modifications pour utiliser EI sur Amazon. SageMaker
Rubriques
Configuration d'autorisations requises
Pour utiliser EI dans SageMaker, le rôle que vous utilisez pour ouvrir une instance de bloc-notes ou créer un modèle déployable doit être associé à une politique assortie des autorisations requises. Vous pouvez attacher au rôle la stratégie AmazonSageMakerFullAccess gérée qui contient les autorisations requises, ou vous pouvez ajouter une stratégie personnalisée disposant des autorisations nécessaires. Pour plus d'informations sur la création d'un rôle IAM, consultes Création d'un rôle pour un service AWS (Console) dans le Guide de l'utilisateur AWS Identity and Access Management. Pour plus d'informations sur la manière d'attacher une stratégie à un rôle, consultez Ajout et suppression de stratégies IAM.
Ajoutez ces autorisations pour connecter EI dans une stratégie IAM en particulier.
{ "Effect": "Allow", "Action": [ "elastic-inference:Connect", "ec2:DescribeVpcEndpoints" ], "Resource": "*" }
La politique IAM suivante est la liste complète des autorisations requises pour utiliser EI dans SageMaker.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elastic-inference:Connect", "ec2:DescribeVpcEndpoints" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sagemaker:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "ecr:BatchCheckLayerAvailability", "cloudwatch:PutMetricData", "cloudwatch:PutMetricAlarm", "cloudwatch:DescribeAlarms", "cloudwatch:DeleteAlarms", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeleteScheduledAction", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:PutScalingPolicy", "application-autoscaling:PutScheduledAction", "application-autoscaling:RegisterScalableTarget", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:GetLogEvents", "logs:PutLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } } ] }
Utilisation d'un VPC personnalisé pour se connecter à EI
Pour utiliser EI SageMaker dans un VPC, vous devez créer et configurer deux groupes de sécurité et configurer un point de terminaison d'interface PrivateLink VPC. EI utilise le point de terminaison de l'interface VPC pour communiquer avec les SageMaker points de terminaison de votre VPC. Les groupes de sécurité que vous créez sont utilisés pour se connecter au point de terminaison d'interface du VPC.
Configuration des groupes de sécurité pour se connecter à EI
Pour utiliser EI dans un VPC, vous devez créer deux groupes de sécurité :
-
un groupe de sécurité pour contrôler l'accès au point de terminaison d'interface du VPC que vous configurez pour EI ;
-
Un groupe de sécurité qui permet SageMaker d'appeler le premier groupe de sécurité.
Pour configurer les deux groupes de sécurité
-
Créez un groupe de sécurité sans connexions sortantes. Vous l'attachez à l'interface de point de terminaison du VPC que vous créez à la section suivante.
-
Créez un second groupe de sécurité sans connexions entrantes, mais avec une connexion sortante vers le premier groupe de sécurité.
-
Modifiez le premier groupe de sécurité afin d'autoriser les connexions entrantes uniquement en relation avec le second groupe de sécurité ainsi que toutes les connexions sortantes.
Pour de plus amples informations sur les groupes de sécurité de VPC, veuillez consulter Security Groups for Your VPC (Groupes de sécurité pour votre VPC) dans le Guide de l'utilisateur Amazon Virtual Private Cloud.
Configuration d'un point de terminaison d'interface de VPC pour se connecter à EI
Pour utiliser EI SageMaker dans un VPC personnalisé, vous devez configurer un point de terminaison d'interface VPC (PrivateLink) pour le service EI.
-
Configurez un point de terminaison d'interface VPC (PrivateLink) pour l'IE. Suivez les instructions de la section Création d'un point de terminaison d'interface. Dans la liste des services, choisissez com.amazonaws<region>.elastic-inference.runtime. Pour Groupe de sécurité, assurez-vous de sélectionner le premier groupe de sécurité que vous avez créé dans la section précédente pour le point de terminaison.
-
Lorsque vous configurez le point de terminaison d'interface, sélectionnez toutes les zones de disponibilité dans lesquelles EI est disponible. EI ne fonctionnera pas si vous n'avez pas configuré au moins deux zones de disponibilité. Pour plus d'informations sur les sous-réseaux de VPC, consultez VPC et sous-réseaux.
