Pencatatan dan pemantauan - SageMaker Praktik Terbaik Administrasi Studio
Logging dengan CloudWatch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pencatatan dan pemantauan

Untuk membantu Anda men-debug pekerjaan kompilasi, pekerjaan pemrosesan, pekerjaan pelatihan, titik akhir, tugas transformasi, instance notebook, dan konfigurasi siklus hidup instance notebook, apa pun yang dikirim oleh container algoritme, wadah model, atau konfigurasi siklus hidup instance notebook ke stdout atau stderr juga dikirim ke Amazon Logs. CloudWatch Anda dapat memantau SageMaker AI Studio menggunakan Amazon CloudWatch, yang mengumpulkan data mentah dan memprosesnya menjadi metrik yang dapat dibaca, mendekati waktu nyata. Statistik ini disimpan selama 15 bulan, sehingga Anda dapat mengakses informasi historis dan mendapatkan perspektif yang lebih baik tentang kinerja aplikasi atau layanan web Anda.

Logging dengan CloudWatch

Karena proses ilmu data secara inheren bersifat eksperimental dan berulang, penting untuk mencatat aktivitas seperti penggunaan notebook, waktu kerja pelatihan/pemrosesan, metrik pelatihan, dan metrik penyajian titik akhir seperti latensi pemanggilan. Secara default, SageMaker AI menerbitkan metrik ke CloudWatch Log, dan log ini dapat dienkripsi dengan kunci yang dikelola pelanggan menggunakan. AWS KMS

Anda juga dapat menggunakan VPC endpoint untuk mengirim log CloudWatch tanpa menggunakan internet publik. Anda juga dapat mengatur alarm yang memperhatikan ambang batas tertentu dan mengirim notifikasi atau mengambil tindakan saat ambang batas tersebut terpenuhi. Untuk informasi selengkapnya, lihat Panduan CloudWatch Pengguna Amazon.

SageMaker AI membuat grup log tunggal untuk Studio, di bawah/aws/sagemaker/studio. Setiap profil pengguna dan aplikasi memiliki aliran log mereka sendiri di bawah grup log ini, dan skrip konfigurasi siklus hidup memiliki aliran log mereka sendiri juga. Misalnya, profil pengguna bernama 'studio-user' dengan aplikasi Jupyter Server dan dengan skrip siklus hidup terlampir, dan aplikasi Data Science Kernel Gateway memiliki aliran log berikut:

/aws/sagemaker/studio/<domain-id>/studio-user/JupyterServer/default

/aws/sagemaker/studio/<domain-id>/studio-user/JupyterServer/default/LifecycleConfigOnStart

/aws/sagemaker/studio/<domain-id>/studio-user/KernelGateway/datascience-app

Agar SageMaker AI dapat mengirim CloudWatch log atas nama Anda, penelepon Training/Processing/Transform pekerjaan APIs akan memerlukan izin berikut: 

{
     "Version": "2012-10-17",
     "Statement": [
         {
             "Action": [   
                 "logs:CreateLogDelivery",      
                 "logs:CreateLogGroup",
                 "logs:CreateLogStream",
                 "logs:DeleteLogDelivery",
                 "logs:Describe*",
                 "logs:GetLogEvents",
                 "logs:GetLogDelivery",
                 "logs:ListLogDeliveries",
                 "logs:PutLogEvents",
                 "logs:PutResourcePolicy",
                 "logs:UpdateLogDelivery"
             ],
             "Resource": "*",
             "Effect": "Allow"
         } 
     ]
 }

Untuk mengenkripsi log tersebut dengan AWS KMS kunci khusus, Anda harus terlebih dahulu memodifikasi kebijakan kunci untuk memungkinkan CloudWatch layanan mengenkripsi dan mendekripsi kunci. Setelah Anda membuat AWS KMS kunci enkripsi log, ubah kebijakan kunci untuk menyertakan yang berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {           
            "Effect": "Allow",
            "Principal": {
                "Service": "logs.region.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt*",
                "kms:Decrypt*",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:Describe*"
            ],
            "Resource": "*",
            "Condition": {
                "ArnLike": {
                    "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:region:account-id:*"
                }
            }
        }    
    ]
}

Perhatikan bahwa Anda selalu dapat menggunakan ArnEquals dan memberikan Amazon Resource Name (ARN) tertentu untuk CloudWatch log yang ingin Anda enkripsi. Di sini kami menunjukkan bahwa Anda dapat menggunakan kunci ini untuk mengenkripsi semua log dalam akun untuk kesederhanaan. Selain itu, pelatihan, pemrosesan, dan titik akhir model menerbitkan metrik tentang pemanfaatan instance CPU dan memori, latensi pemanggilan hosting, dan sebagainya. Anda dapat mengonfigurasi Amazon lebih lanjut SNS untuk memberi tahu administrator tentang peristiwa ketika ambang batas tertentu dilewati. Konsumen pelatihan dan pemrosesan APIs harus memiliki izin berikut: 

{
     "Version": "2012-10-17",
     "Statement": [
         {
             "Action": [         
                 "cloudwatch:DeleteAlarms",
                 "cloudwatch:DescribeAlarms",
                 "cloudwatch:GetMetricData",
                 "cloudwatch:GetMetricStatistics",
                 "cloudwatch:ListMetrics",
                 "cloudwatch:PutMetricAlarm",
                 "cloudwatch:PutMetricData",
                 "sns:ListTopics"
             ],
             "Resource": "*",
             "Effect": "Allow",
             "Condition": {
                 "StringLike": {
                     "cloudwatch:namespace": "aws/sagemaker/*"
                 }
             }
             
         },
         {
             "Action": [
                 "sns:Subscribe",
                 "sns:CreateTopic"
             ],
             "Resource": [
                 "arn:aws:sns:*:*:*SageMaker*",
                 "arn:aws:sns:*:*:*Sagemaker*",
                 "arn:aws:sns:*:*:*sagemaker*"
             ],
             "Effect": "Allow"
         }
     ]
 }

Audit dengan AWS CloudTrail

Untuk meningkatkan postur kepatuhan Anda, audit semua APIs dengan Anda AWS CloudTrail. Secara default, semua SageMaker AI APIs login dengan AWS CloudTrail. Anda tidak memerlukan IAM izin tambahan untuk mengaktifkan CloudTrail.

Semua tindakan SageMaker AI, dengan pengecualian InvokeEndpoint danInvokeEndpointAsync, dicatat oleh CloudTrail dan didokumentasikan dalam operasi. Misalnya, panggilan keCreateTrainingJob,CreateEndpoint, dan CreateNotebookInstance tindakan menghasilkan entri dalam file CloudTrail log.

Setiap entri CloudTrail acara berisi informasi tentang siapa yang membuat permintaan. Informasi identitas membantu Anda menentukan berikut ini:

  • Baik permintaan tersebut dibuat dengan kredensial pengguna root atau AWS IAM.

  • Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna terfederasi.

  • Apakah permintaan itu dibuat oleh AWS layanan lain. Untuk contoh peristiwa, lihat APIPanggilan SageMaker AI Log dengan CloudTrail dokumentasi.

Secara default, CloudTrail mencatat nama peran eksekusi Studio dari profil pengguna sebagai pengenal untuk setiap peristiwa. Ini berfungsi jika setiap pengguna memiliki peran eksekusi mereka sendiri. Jika beberapa pengguna berbagi peran eksekusi yang sama, Anda dapat menggunakan sourceIdentity konfigurasi untuk menyebarkan nama profil pengguna Studio ke CloudTrail. Lihat Memantau akses sumber daya pengguna dari Amazon SageMaker AI Studio untuk mengaktifkan sourceIdentity fitur tersebut. Di ruang bersama, semua tindakan mengacu pada ruang ARN sebagai sumber, dan Anda tidak dapat mengauditsourceIdentity.