Configuration du déploiement de modèle Sécurité du déploiement de modèle Configuration des valeurs par défaut pour les JumpStart modèles

Déploiement d'un modèle

Lorsque vous déployez un modèle depuis JumpStart, SageMaker héberge le modèle et déployez un point de terminaison que vous pouvez utiliser à des fins d'inférence. JumpStart fournit également un exemple de bloc-notes que vous pouvez utiliser pour accéder au modèle après son déploiement.

Important

Depuis le 30 novembre 2023, l'expérience Amazon SageMaker Studio précédente s'appelle désormais Amazon SageMaker Studio Classic. La section suivante est spécifique à l'utilisation de l'application Studio Classic. Pour plus d'informations sur l'utilisation de l'expérience Studio mise à jour, consultezAmazon SageMaker Studio.

Note

Pour plus d'informations sur le déploiement de JumpStart modèles dans Studio, voir Déployer un modèle dans Studio

Configuration du déploiement de modèle

Une fois que vous avez choisi un modèle, l'onglet du modèle s'ouvre. Dans le volet Deploy Model (Déployer le modèle), choisissez Deployment Configuration (Configuration du déploiement) pour configurer le déploiement de votre modèle.

The Deploy Model pane.

La valeur par défaut Instance type (Type d'instance) pour déployer un modèle dépend du modèle. Le type d'instance est le matériel sur lequel la tâche d'entraînement s'exécute. Dans l'exemple suivant, l'ml.p2.xlargeinstance est l'instance par défaut pour ce BERT modèle particulier.

Vous pouvez également modifier le nom du point de terminaison, ajouter key;value des balises de ressource, activer ou désactiver le jumpstart- préfixe pour toutes les JumpStart ressources liées au modèle et spécifier un compartiment Amazon S3 pour stocker les artefacts du modèle utilisés par votre SageMaker point de terminaison.

JumpStart Deploy Model pane with Deployment Configuration open to select its settings.

Choisissez Security Settings pour spécifier le rôle AWS Identity and Access Management (IAM), Amazon Virtual Private Cloud (AmazonVPC) et les clés de chiffrement pour le modèle.

JumpStart Deploy Model pane with Security Settings open to select its settings.

Sécurité du déploiement de modèle

Lorsque vous déployez un modèle avec JumpStart, vous pouvez spécifier un IAM rôleVPC, Amazon et des clés de chiffrement pour le modèle. Si vous ne spécifiez aucune valeur pour ces entrées : le IAM rôle par défaut est votre rôle d'exécution Studio Classic ; le chiffrement par défaut est utilisé ; aucun Amazon n'VPCest utilisé.

IAMrôle

Vous pouvez sélectionner un IAM rôle qui est transmis dans le cadre des tâches de formation et d'hébergement d'offres d'emploi. SageMaker utilise ce rôle pour accéder aux données d'entraînement et aux artefacts du modèle. Si vous ne sélectionnez aucun IAM rôle, SageMaker déploie le modèle à l'aide de votre rôle d'exécution Studio Classic. Pour plus d'informations sur IAM les rôles, consultezIdentity and Access Management pour Amazon SageMaker.

Le rôle que vous transmettez doit avoir accès aux ressources dont le modèle a besoin et doit inclure tous les éléments suivants.

Pour les tâches de formation : CreateTrainingJob API: Autorisations relatives aux rôles d'exécution.
Pour les tâches d'hébergement : CreateModel API: Autorisations du rôle d'exécution.

Note

Vous pouvez examiner les autorisations Amazon S3 accordées dans chacun des rôles suivants. Pour ce faire, utilisez ARN le compartiment Amazon Simple Storage Service (Amazon S3) et le compartiment Amazon JumpStart S3.


{
  "Effect": "Allow",
  "Action": [
    "s3:GetObject",
    "s3:PutObject",
    "s3:ListMultipartUploadParts",
    "s3:ListBucket"
  ],
  "Resources": [
    "arn:aws:s3:::jumpstart-cache-prod-<region>/*",
    "arn:aws:s3:::jumpstart-cache-prod-<region>",
    "arn:aws:s3:::bucket/*"
  ]
}

Trouver IAM un rôle

Si vous sélectionnez cette option, vous devez sélectionner un IAM rôle existant dans la liste déroulante.

JumpStart Security Settings IAM section with Find IAM role selected.

IAMRôle d'entrée

Si vous sélectionnez cette option, vous devez saisir manuellement le ARN pour un IAM rôle existant. Si votre rôle d'exécution Studio Classic ou Amazon VPC bloquent l'iam:list* appel, vous devez utiliser cette option pour utiliser un IAM rôle existant.

JumpStart Security Settings IAM section with Input IAM role selected.

Amazon VPC

Tous les JumpStart modèles fonctionnent en mode d'isolation du réseau. Une fois le conteneur de modèle créé, aucun autre appel ne peut être effectué. Vous pouvez sélectionner un Amazon VPC qui sera accepté dans le cadre des offres de formation et d'hébergement d'offres d'emploi. SageMaker utilise cet Amazon VPC pour transférer et extraire des ressources de votre compartiment Amazon S3. Cet Amazon VPC est différent de l'Amazon VPC qui limite l'accès à l'Internet public depuis votre instance Studio Classic. Pour plus d'informations sur le Studio Classic AmazonVPC, consultezConnectez les blocs-notes Studio dans un VPC à des ressources externes.

L'Amazon VPC que vous transmettez n'a pas besoin d'accéder à l'Internet public, mais il doit avoir accès à Amazon S3. Le point de VPC terminaison Amazon pour Amazon S3 doit autoriser l'accès au moins aux ressources suivantes dont le modèle a besoin.


{
  "Effect": "Allow",
  "Action": [
    "s3:GetObject",
    "s3:PutObject",
    "s3:ListMultipartUploadParts",
    "s3:ListBucket"
  ],
  "Resources": [
    "arn:aws:s3:::jumpstart-cache-prod-<region>/*",
    "arn:aws:s3:::jumpstart-cache-prod-<region>",
    "arn:aws:s3:::bucket/*"
  ]
}

Si vous ne sélectionnez pas d'AmazonVPC, aucun Amazon n'VPCest utilisé.

Trouvez VPC

Si vous sélectionnez cette option, vous devez sélectionner un Amazon VPC existant dans la liste déroulante. Après avoir sélectionné un AmazonVPC, vous devez sélectionner un sous-réseau et un groupe de sécurité pour votre AmazonVPC. Pour plus d'informations sur les sous-réseaux et les groupes de sécurité, consultez la section Présentation des sous-réseaux VPCs et sous-réseaux.

JumpStart Security Settings VPC section with Find VPC selected.

Entrée VPC

Si vous sélectionnez cette option, vous devez sélectionner manuellement le sous-réseau et le groupe de sécurité qui composent votre AmazonVPC. Si votre rôle d'exécution Studio Classic ou Amazon VPC bloque l'ec2:list*appel, vous devez utiliser cette option pour sélectionner le sous-réseau et le groupe de sécurité.

JumpStart Security Settings VPC section with Input VPC selected.

Clés de chiffrement

Vous pouvez sélectionner une AWS KMS clé qui est transmise dans le cadre des tâches de formation et d'hébergement des tâches. SageMaker utilise cette clé pour chiffrer le EBS volume Amazon du conteneur et le modèle reconditionné dans Amazon S3 pour les tâches d'hébergement et la sortie pour les tâches de formation. Pour plus d'informations sur AWS KMS les clés, consultez la section AWS KMS clés.

La clé que vous passez doit faire confiance au IAM rôle que vous passez. Si vous ne spécifiez aucun IAM rôle, la AWS KMS clé doit faire confiance à votre rôle d'exécution Studio Classic.

Si vous ne sélectionnez aucune AWS KMS clé, SageMaker fournit un chiffrement par défaut pour les données du EBS volume Amazon et les artefacts Amazon S3.

Trouver des clés de chiffrement

Si vous sélectionnez cette option, vous devez sélectionner les AWS KMS clés existantes dans la liste déroulante.

JumpStart Security Settings encryption section with Find encryption keys selected.

Clés de chiffrement d'entrée

Si vous sélectionnez cette option, vous devez saisir les AWS KMS clés manuellement. Si votre rôle d'exécution Studio Classic ou Amazon VPC bloquent l'kms:list* appel, vous devez utiliser cette option pour sélectionner les AWS KMS clés existantes.

JumpStart Security Settings encryption section with Input encryption keys selected.

Configuration des valeurs par défaut pour les JumpStart modèles

Vous pouvez configurer des valeurs par défaut pour des paramètres tels que IAM les rôles et VPCs les KMS clés à prérenseigner pour le déploiement et la JumpStart formation du modèle. Après avoir configuré les valeurs par défaut, l'interface utilisateur de Studio Classic fournit automatiquement les paramètres de sécurité et les balises que vous avez spécifiés aux JumpStart modèles afin de simplifier les flux de travail de déploiement et de formation. Les administrateurs et les utilisateurs finaux peuvent initialiser les valeurs par défaut spécifiées dans un fichier de configuration au YAML format.

Par défaut, le SageMaker Python SDK utilise deux fichiers de configuration : un pour l'administrateur et un pour l'utilisateur. À l'aide du fichier de configuration de l'administrateur, les administrateurs peuvent définir un ensemble de valeurs par défaut. Les utilisateurs finaux peuvent remplacer les valeurs définies dans le fichier de configuration de l'administrateur et définir des valeurs par défaut supplémentaires à l'aide du fichier de configuration de l'utilisateur final. Pour plus d'informations, consultez Emplacement du fichier de configuration par défaut.(langue française non garantie)

L'exemple de code suivant répertorie les emplacements par défaut des fichiers de configuration lors de l'utilisation de SageMaker Python SDK dans Amazon SageMaker Studio Classic.


# Location of the admin config file
/etc/xdg/sagemaker/config.yaml

# Location of the user config file
/root/.config/sagemaker/config.yaml

Les valeurs spécifiées dans le fichier de configuration de l'utilisateur remplacent les valeurs définies dans le fichier de configuration de l'administrateur. Le fichier de configuration est propre à chaque profil utilisateur d'un SageMaker domaine Amazon. L'application Studio Classic du profil utilisateur est directement associée au profil utilisateur. Pour de plus amples informations, veuillez consulter Profils d'utilisateurs du domaine.

Les administrateurs peuvent éventuellement définir des paramètres de configuration par défaut pour la formation et le déploiement des JumpStart modèles par le biais de configurations JupyterServer du cycle de vie. Pour de plus amples informations, veuillez consulter Création et association d'une configuration de cycle de vie.

Votre fichier de configuration doit respecter la structure du fichier SDK de configuration SageMaker Python. Notez que les champs spécifiques des EndpointConfig configurations TrainingJobModel, et s'appliquent aux valeurs par défaut de formation et de déploiement des JumpStart modèles.


SchemaVersion: '1.0'
SageMaker:
  TrainingJob:
    OutputDataConfig:
      KmsKeyId: example-key-id
    ResourceConfig:
      # Training configuration - Volume encryption key
      VolumeKmsKeyId: example-key-id
    # Training configuration form - IAM role
    RoleArn: arn:aws:iam::123456789012:role/SageMakerExecutionRole
    VpcConfig:
      # Training configuration - Security groups
      SecurityGroupIds:
      - sg-1
      - sg-2
      # Training configuration - Subnets
      Subnets:
      - subnet-1
      - subnet-2
    # Training configuration - Custom resource tags
    Tags:
    - Key: Example-key
      Value: Example-value
  Model:
    EnableNetworkIsolation: true
    # Deployment configuration - IAM role
    ExecutionRoleArn: arn:aws:iam::123456789012:role/SageMakerExecutionRole
    VpcConfig:
      # Deployment configuration - Security groups
      SecurityGroupIds:
      - sg-1
      - sg-2
      # Deployment configuration - Subnets
      Subnets:
      - subnet-1
      - subnet-2
  EndpointConfig:
    AsyncInferenceConfig:
      OutputConfig:
        KmsKeyId: example-key-id
    DataCaptureConfig:
      # Deployment configuration - Volume encryption key
      KmsKeyId: example-key-id
    KmsKeyId: example-key-id
    # Deployment configuration - Custom resource tags
    Tags:
    - Key: Example-key
      Value: Example-value

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Modèles spécifiques aux tâches

Affiner un modèle