Protection des communications entres instances de calcul ML dans une tâche d'entraînement distribué - Amazon SageMaker

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des communications entres instances de calcul ML dans une tâche d'entraînement distribué

Par défaut, Amazon SageMaker exécute des tâches de formation dans un Amazon Virtual Private Cloud (Amazon VPC) afin de garantir la sécurité de vos données. Pour protéger vos conteneurs d'entraînement et vos données, vous pouvez ajouter un autre niveau de sécurité en configurant un VPC privé. Les infrastructures et algorithmes ML distribués transmettent généralement des informations qui sont directement liées au modèle, telles que les pondérations, et non au jeu de données. Lorsque vous effectuez un entraînement distribué, vous pouvez mieux protéger les données qui sont transmises entre les instances. Cela peut vous aider à respecter les exigences réglementaires. Pour ce faire, utilisez le chiffrement du trafic entre conteneurs.

Note

Pour les cas d'utilisation dans le secteur de la santé, la bonne pratique en matière de sécurité consiste à chiffrer les communications entre les nœuds.

L'activation du chiffrement du trafic entre conteneurs peut augmenter la durée de l'entraînement, surtout si vous utilisez des algorithmes de deep learning distribués. L'activation du chiffrement du trafic entre conteneurs n'affecte pas les tâches d'entraînement ayant une instance de calcul unique. Cependant, pour les tâches d'entraînement possédant plusieurs instances de calcul, l'incidence sur la durée d'entraînement dépend du volume de communication entre les instances de calcul. Pour les algorithmes concernés, l'ajout de ce niveau de sécurité augmente également les coûts. Le temps d'entraînement pour la plupart des algorithmes SageMaker intégrés, tels que XGBoost, DeePar et Linear Learner, n'est généralement pas affecté.

Vous pouvez activer le chiffrement du trafic entre conteneurs pour les tâches d'entraînement ou les tâches de réglage d'hyper-paramètre. Vous pouvez utiliser des SageMaker API ou une console pour activer le chiffrement du trafic entre conteneurs.

Pour plus d'informations sur l'exécution de tâches d'entraînement dans un VPC privé, consultez Donnez aux postes de SageMaker formation l'accès aux ressources de votre Amazon VPC.

Activez le chiffrement du trafic entre conteneurs (API)

Avant d'activer le chiffrement du trafic entre conteneurs pour les tâches d'entraînement ou de réglage d'hyperparamètre avec des API, ajoutez des règles entrantes et sortantes au groupe de sécurité de votre VPC privé.

Pour activer le chiffrement du trafic entre conteneurs (API)
  1. Ajoutez les règles entrantes et sortantes suivantes au groupe de sécurité de votre VPC privé :

    Protocole Plage de ports Source

    UDP

    500

    Self Security Group ID

    ESP 50

    N/A

    Self Security Group ID

  2. Lorsque vous envoyez une requête à l'API CreateTrainingJob ou CreateHyperParameterTuningJob, spécifiez True pour le paramètre EnableInterContainerTrafficEncryption.

Note

Pour le protocole ESP 50, la console de groupe de sécurité AWS peut afficher la plage de ports comme « Tous ». Toutefois, Amazon EC2 ignore la plage de ports indiquée, car elle n'est pas applicable pour le protocole IP ESP 50.

Activer le chiffrement du trafic entre conteneurs (Console)

Activer le chiffrement du trafic entre conteneurs dans une tâche d'entraînement

Activer le chiffrement du trafic entre conteneurs dans une tâche d'entraînement
  1. Ouvrez la SageMaker console Amazon à l'adresse https://console.aws.amazon.com/sagemaker/.

  2. Dans le panneau de navigation, choisissez Training (Entraînement), puis Training jobs (Tâches d'entraînement).

  3. Choisissez Create training job (Créer une tâche d'entraînement).

  4. Dans Network (Réseau), choisissez un VPC. Vous pouvez utiliser le VPC par défaut ou un VPC que vous avez créé.

  5. Choisissez Enable inter-container traffic encryption (Activer le chiffrement du trafic entre conteneurs).

Une fois que vous avez activé le chiffrement du trafic entre conteneurs, achevez la création de la tâche d'entraînement. Pour plus d’informations, consultez Étape 4 : entraîner un modèle.

Activez le chiffrement du trafic entre conteneurs dans une tâche de réglage d'hyper-paramètre

Pour activer le chiffrement du trafic entre conteneurs dans une tâche de réglage d'hyper-paramètre
  1. Ouvrez la SageMaker console Amazon à l'adresse https://console.aws.amazon.com/sagemaker/.

  2. Dans le panneau de navigation, choisissez Training (Entraînement), puis Hyperparameter tuning jobs (Tâches de réglage d'hyper-paramètre).

  3. Choisissez Create hyperparameter tuning job (Créer une tâche de réglage d'hyperparamètre).

  4. Dans Network (Réseau), choisissez un VPC. Vous pouvez utiliser le VPC par défaut ou un VPC que vous avez créé.

  5. Choisissez Enable inter-container traffic encryption (Activer le chiffrement du trafic entre conteneurs).

Une fois que vous avez activé le chiffrement du trafic entre conteneurs, achevez la création de la tâche de réglage d'hyper-paramètre. Pour plus d’informations, consultez Configuration et lancement de la tâche de réglage des hyperparamètres.