Protection des communications entres instances de calcul ML dans une tâche d'entraînement distribué - Amazon SageMaker

Protection des communications entres instances de calcul ML dans une tâche d'entraînement distribué

Par défaut, Amazon SageMaker exécute des tâches d'entraînement dans un Amazon Virtual Private Cloud (Amazon VPC) pour assurer la sécurité de vos données. Pour protéger vos conteneurs d'entraînement et vos données, vous pouvez ajouter un autre niveau de sécurité en configurant un VPC privé. Les infrastructures et algorithmes ML distribués transmettent généralement des informations qui sont directement liées au modèle, telles que les pondérations, et non au jeu de données. Lorsque vous effectuez un entraînement distribué, vous pouvez mieux protéger les données qui sont transmises entre les instances. Cela peut vous aider à respecter les exigences réglementaires. Pour ce faire, utilisez le chiffrement du trafic entre conteneurs.

L'activation du chiffrement du trafic entre conteneurs peut augmenter la durée de l'entraînement, surtout si vous utilisez des algorithmes de deep learning distribués. L'activation du chiffrement du trafic entre conteneurs n'affecte pas les tâches d'entraînement ayant une instance de calcul unique. Cependant, pour les tâches de formation possédant plusieurs instances de calcul, l'incidence sur la durée de formation dépend du volume de communication entre les instances de calcul. Pour les algorithmes concernés, l'ajout de ce niveau de sécurité augmente également les coûts. La durée d'entraînement pour la plupart des algorithmes SageMaker intégrés (XGBoost, DeepAR, apprentissage linéaire, etc.) n'est généralement pas affectée.

Vous pouvez activer le chiffrement du trafic entre conteneurs pour les tâches d'entraînement ou les tâches de réglage d'hyper-paramètre. Vous pouvez utiliser les API ou la console SageMaker pour activer le chiffrement du trafic entre conteneurs.

Pour plus d'informations sur l'exécution de tâches d'entraînement dans un VPC privé, consultez Attribuer aux tâches d'entraînement SageMaker l'accès aux ressources de votre Amazon VPC.

Activez le chiffrement du trafic entre conteneurs (API)

Avant d'activer le chiffrement du trafic entre conteneurs pour les tâches d'entraînement ou de réglage d'hyperparamètre avec des API, vous devez ajouter des règles entrantes et sortantes au groupe de sécurité de votre VPC privé.

Pour activer le chiffrement du trafic entre conteneurs (API)

  1. Ajoutez les règles entrantes et sortantes suivantes au groupe de sécurité de votre VPC privé:

    Protocole Plage de ports Source

    UDP

    500

    Self Security Group ID

    ESP 50

    N/A

    Self Security Group ID

  2. Lorsque vous envoyez une requête à l'API CreateTrainingJob ou CreateHyperParameterTuningJob, spécifiez True pour le EnableInterContainerTrafficEncryptionparamètre.

Note

Pour le protocole ESP 50, la console de groupe de sécurité AWS peut afficher la plage de ports comme « Tous ». Toutefois, Amazon EC2 ignore la plage de ports indiquée, car elle n'est pas applicable pour le protocole IP ESP 50.

Activer le chiffrement du trafic entre conteneurs (Console)

Activer le chiffrement du trafic entre conteneurs dans une tâche d'entraînement

Activer le chiffrement du trafic entre conteneurs dans une tâche d'entraînement

  1. Ouvrez la console Amazon SageMaker à l'adresse https://console.aws.amazon.com/sagemaker/.https://console.aws.amazon.com/sagemaker/

  2. Dans le panneau de navigation, choisissez Training (Entraînement), puis Tâches d'entraînement.

  3. Choisissez Créer une tâche d'entraînement.

  4. Dans Réseau, choisissez un VPC. Vous pouvez utiliser le VPC par défaut ou un VPC que vous avez créé.

  5. Choisissez Enable inter-container traffic encryption (Activer le chiffrement du trafic entre conteneurs).

Une fois que vous avez activé le chiffrement du trafic entre conteneurs, achevez la création de la tâche d'entraînement. Pour de plus amples informations, veuillez consulter . Étape 4 : entraîner un modèle.

Activez le chiffrement du trafic entre conteneurs dans une tâche de réglage d'hyper-paramètre

Pour activer le chiffrement du trafic entre conteneurs dans une tâche de réglage d'hyper-paramètre

  1. Ouvrez la console Amazon SageMaker à l'adresse https://console.aws.amazon.com/sagemaker/.https://console.aws.amazon.com/sagemaker/

  2. Dans le panneau de navigation, choisissez Entraînement, puis Tâches de réglage d'hyper-paramètre.

  3. Choisissez Créer une tâche de réglage d'hyperparamètre.

  4. Dans Réseau, choisissez un VPC. Vous pouvez utiliser le VPC par défaut ou un VPC que vous avez créé.

  5. Choisissez Enable inter-container traffic encryption (Activer le chiffrement du trafic entre conteneurs).

Une fois que vous avez activé le chiffrement du trafic entre conteneurs, achevez la création de la tâche de réglage d'hyper-paramètre. Pour de plus amples informations, veuillez consulter . Configuration et lancement de la tâche de réglage des hyperparamètres.