Donnez aux tâches de SageMaker traitement l'accès aux ressources de votre Amazon VPC

Pour contrôler l'accès à vos données et aux tâches de traitement, créez un Amazon VPC avec des sous-réseaux privés. Pour plus d'informations sur la création et la configuration d'unVPC, consultez Get Started With Amazon VPC dans le guide de VPC l'utilisateur Amazon.

Vous pouvez surveiller l'ensemble du trafic réseau entrant et sortant de vos conteneurs de traitement à l'aide des journaux de VPC flux. Pour plus d'informations, consultez VPCFlow Logs dans le guide de VPC l'utilisateur Amazon.

Ce document explique comment ajouter des VPC configurations Amazon pour les tâches de traitement.

Configuration d'une tâche de traitement pour Amazon VPC Access

Vous configurez la tâche de traitement en spécifiant les sous-réseaux et le groupe de sécurité IDs au sein duVPC. Il n'est pas nécessaire de spécifier le sous-réseau du conteneur de traitement. Amazon extrait SageMaker automatiquement le conteneur de traitement d'AmazonECR. Pour plus d'informations sur le traitement des conteneurs, consultezUtiliser des tâches de traitement pour exécuter des charges de travail de transformation de données.

Lorsque vous créez une tâche de traitement, vous pouvez spécifier des sous-réseaux et des groupes de sécurité à VPC l'aide de la SageMaker console ou duAPI.

Pour utiliser leAPI, vous devez spécifier les sous-réseaux et le groupe de sécurité IDs dans le NetworkConfig.VpcConfig paramètre de l' CreateProcessingJobopération. SageMaker utilise les détails du sous-réseau et du groupe de sécurité pour créer les interfaces réseau et les attache aux conteneurs de traitement. Les interfaces réseau fournissent aux conteneurs de traitement une connexion réseau au sein de votreVPC. Cela permet à la tâche de traitement de se connecter aux ressources qui existent dans votreVPC.

Voici un exemple du VpcConfig paramètre que vous incluez dans votre appel à l'CreateProcessingJobopération :

VpcConfig: {
    "Subnets": [
        "subnet-0123456789abcdef0",
        "subnet-0123456789abcdef1",
        "subnet-0123456789abcdef2"
    ],    
    "SecurityGroupIds": [
        "sg-0123456789abcdef0"
    ]
}

Configurez votre fichier privé VPC pour SageMaker le traitement

Lorsque vous configurez le VPC mode privé pour vos tâches de SageMaker traitement, suivez les instructions suivantes. Pour plus d'informations sur la configuration d'unVPC, consultez la section Utilisation des sous-réseaux VPCs et des sous-réseaux dans le guide de VPC l'utilisateur Amazon.

S'assurer que les sous-réseaux ont suffisamment d'adresses IP

Vos VPC sous-réseaux doivent avoir au moins deux adresses IP privées pour chaque instance d'une tâche de traitement. Pour plus d'informations, consultez la section VPCrelative au dimensionnement des sous-réseaux IPv4 dans le guide de VPCl'utilisateur Amazon.

Création d'un point de VPC terminaison Amazon S3

Si vous configurez le vôtre de VPC telle sorte que les conteneurs de traitement n'aient pas accès à Internet, ils ne peuvent pas se connecter aux compartiments Amazon S3 contenant vos données, sauf si vous créez un VPC point de terminaison autorisant l'accès. En créant un VPC point de terminaison, vous autorisez vos conteneurs de traitement à accéder aux compartiments dans lesquels vous stockez vos données. Nous vous recommandons également de créer une politique personnalisée qui autorise uniquement les demandes provenant de votre compte privé VPC à accéder à vos compartiments S3. Pour plus d’informations, consultez Points de terminaison pour Amazon S3.

Pour créer un point de VPC terminaison S3 :

1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

2. Dans le volet de navigation, choisissez Endpoints (Points de terminaison), puis Create Endpoint (Créer un point de terminaison).

3. Pour Nom du service, choisissez com.amazonaws.region.s3, où region est le nom de la région dans laquelle vous VPC résidez.

4. Pour VPC, choisissez celui que VPC vous souhaitez utiliser pour ce point de terminaison.

5. Pour Configurer les tables de routage, sélectionnez les tables de routage à utiliser par le point de terminaison. Le VPC service ajoute automatiquement un itinéraire à chaque table de routage que vous sélectionnez qui oriente tout trafic S3 vers le nouveau point de terminaison.

6. Pour Policy, choisissez Accès complet pour autoriser l'accès complet au service S3 à n'importe quel utilisateur ou service au sein duVPC. Choisissez Personnalisé pour restreindre l’accès davantage. Pour plus d’informations, veuillez consulter Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3.

Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3

La politique de point de terminaison par défaut permet un accès complet à S3 pour tous les utilisateurs ou services de votre entrepriseVPC. Pour limiter l'accès à S3, créez une politique de point de terminaison personnalisé. Pour de plus amples informations, veuillez consulter Utilisation des politiques de point de terminaison pour Amazon S3. Vous pouvez également utiliser une politique de compartiment pour restreindre l'accès à vos compartiments S3 uniquement au trafic provenant de votre AmazonVPC. Pour obtenir des informations, veuillez consulter Utilisation de politiques de compartiment Amazon S3.

Restreindre l'installation de packages sur le conteneur de traitement

La politique de point de terminaison par défaut permet aux utilisateurs d'installer des packages à partir des référentiels Amazon Linux et Amazon Linux 2 sur le conteneur de traitement. Si vous ne voulez pas que les utilisateurs installent des packages à partir de ce référentiel, créez une politique de point de terminaison personnalisée qui refuse explicitement l'accès aux référentiels Amazon Linux et Amazon Linux 2. Voici un exemple de politique qui refuse l'accès à ces référentiels :

{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
} 

Configuration des tables de routage

Utilisez DNS les paramètres par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemplehttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) soit résolu. Si vous n'utilisez pas DNS les paramètres par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos tâches de traitement sont résolus en configurant les tables de routage des points de terminaison. Pour plus d'informations sur les tables de routage des points de VPC terminaison, consultez la section Routing for Gateway Endpoints dans le guide de VPC l'utilisateur Amazon.

Configuration du groupe VPC de sécurité

Dans un traitement distribué, vous devez autoriser la communication entre les différents conteneurs d'une même tâche de traitement. Pour ce faire, configurez une règle pour votre groupe de sécurité qui autorise les connexions entrantes entre les membres du même groupe de sécurité. Pour de plus amples informations, veuillez consulter Règles des groupes de sécurité.

Connectez-vous à des ressources extérieures à votre VPC

Si vous connectez vos modèles à des ressources extérieures à celles sur VPC lesquelles ils s'exécutent, effectuez l'une des opérations suivantes :

• Connect à d'autres AWS services — Si votre modèle a besoin d'accéder à un AWS service qui prend en charge les VPC points de terminaison Amazon d'interface, créez un point de terminaison pour vous connecter à ce service. Pour obtenir la liste des services qui prennent en charge les points de terminaison d'interface, voir AWS services qui s'intègrent à AWS PrivateLinkdans le AWS PrivateLink Guide de l'utilisateur. Pour plus d'informations sur la création d'un point de VPC terminaison d'interface, consultez Access an AWS service utilisant un point de VPC terminaison d'interface dans le AWS PrivateLink Guide de l'utilisateur.

• Connectez-vous aux ressources via Internet : si vos modèles s'exécutent sur des instances d'Amazon ne VPC disposant pas d'un sous-réseau avec accès à Internet, les modèles n'auront pas accès aux ressources sur Internet. Si votre modèle a besoin d'accéder à un AWS service qui ne prend pas en charge les VPC points de terminaison d'interface, ou vers une ressource extérieure à AWS, assurez-vous que vous exécutez vos modèles dans un sous-réseau privé ayant accès à Internet via une NAT passerelle publique dans un sous-réseau public. Une fois que vos modèles sont exécutés dans le sous-réseau privé, configurez vos groupes de sécurité et vos listes de contrôle d'accès réseau (NACLs) pour autoriser les connexions sortantes du sous-réseau privé vers la NAT passerelle publique du sous-réseau public. Pour plus d'informations, consultez la section sur NATles passerelles dans le guide de VPC l'utilisateur Amazon.

Surveillez les tâches SageMaker de traitement Amazon à l'aide de CloudWatch journaux et de statistiques

Amazon SageMaker fournit des CloudWatch journaux et des statistiques Amazon pour suivre les tâches de formation. CloudWatch fournit des métriques de mémoire CPUGPU, de GPU mémoire et de disque, ainsi que la journalisation des événements. Pour plus d'informations sur la surveillance SageMaker des tâches de traitement Amazon, consultez Surveillez Amazon SageMaker avec Amazon CloudWatch etSageMaker indicateurs relatifs aux emplois et aux terminaux.