Amazon SageMaker のリソースへのアクセス権を明確にするジョブに付与VPC - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon SageMaker のリソースへのアクセス権を明確にするジョブに付与VPC

データおよび SageMaker Clarify ジョブへのアクセスを制御するには、プライベート Amazon VPC を作成して設定し、そのジョブにパブリックインターネット経由でアクセスできないようにすることをお勧めします。ジョブを処理するための Amazon VPC の作成と設定については、Amazon VPC のリソースへのアクセス権を SageMaker 処理ジョブに付与する

このドキュメントでは、SageMaker Clarify ジョブの要件を満たす追加の Amazon VPC 設定を追加する方法について説明します。

Amazon VPC アクセスの SageMaker 明確化Job 設定

SageMaker Clarify ジョブ用にプライベート Amazon VPC を設定するときは、サブネットとセキュリティグループを指定する必要があります。また、トレーニング後のバイアスメトリックスやモデルの予測を説明するのに役立つ機能コントリビューションを計算するときに、ジョブが SageMaker モデルから推論を取得できるようにする必要があります。

SageMaker 明確Job の Amazon VPC サブネットおよびセキュリティグループ

プライベート Amazon VPC 内のサブネットとセキュリティグループは、ジョブの作成方法に応じて、さまざまな方法で SageMaker Clarify ジョブに割り当てることができます。

  • SageMaker コンソール: ジョブを作成するときに、この情報を入力します。SageMaker ダッシュボード。[] から [Processingメニューで、ジョブを処理中を選択し、[]処理ジョブの作成。SELECTVPCオプションのネットワークパネルを開き、ドロップダウンリストを使用してサブネットとセキュリティグループを指定します。このパネルで提供されているネットワーク分離オプションが無効に設定されていることを確認します。

  • SageMaker API: を使用するNetworkConfig.VpcConfigリクエストパラメーターCreateProcessingJobAPI。次の例に示すように、API を使用します。

    "NetworkConfig": { "VpcConfig": { "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] } }
  • SageMaker Python SDK: を使用するNetworkConfigパラメータ内)SageMakerClarifyProcessorAPI またはProcessorAPI。次の例に示すように、API を使用します。

    from sagemaker.network import NetworkConfig network_config = NetworkConfig( subnets=[ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2", ], security_group_ids=[ "sg-0123456789abcdef0", ], )

SageMaker は、情報を使用してネットワークインターフェースを作成し、SageMaker Clarify ジョブにアタッチします。ネットワークインターフェイスは SageMaker Clarify ジョブに、パブリックインターネットに接続されていない Amazon VPC 内のネットワーク接続を提供します。また、SageMaker Clarify ジョブは、プライベート Amazon VPC 内のリソースに接続できるようにします。

モデルの Amazon VPC を推論用に設定

トレーニング後のバイアスメトリクスと説明可能性を計算するには、SageMaker Clarify ジョブは、model_nameパラメータ内)解析設定は、SageMaker 明確化処理ジョブ用です。あるいは、SageMakerClarifyProcessorAPI を使用する場合、ジョブはmodel_nameによって指定されるモデル構成クラス. これを実現するために、SageMaker Clarify ジョブは、モデルとともに一時的なエンドポイント (シャドウエンドポイントをクリックし、モデルの Amazon VPC 設定をシャドウエンドポイントに適用します。

注記

SageMaker Clarify ジョブがシャドウエンドポイントと通信できるように、SageMaker Clarify ジョブとモデルの両方のネットワーク分離オプションを無効にする必要があります(デフォルトではこのオプションは無効になっています)。

プライベート Amazon VPC 内のサブネットとセキュリティグループを SageMaker モデルに指定するには、VpcConfigリクエストパラメーターCreateModelAPI を使用してモデルを作成するか、コンソールの SageMaker ダッシュボードを使用してモデルを作成するときにこの情報を指定します。次に、VpcConfig への呼び出しに含める CreateModel パラメータの例を示します。

"VpcConfig": { "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] }

シャドウエンドポイントのインスタンス数を指定するには、initial_instance_countパラメータ内)解析設定は、SageMaker 明確化処理ジョブ用です。あるいは、SageMakerClarifyProcessorAPI を使用する場合、ジョブはinstance_countによって指定されるモデル構成クラス.

注記

シャドウエンドポイントの作成時にインスタンスを 1 つだけ要求しても、モデルのモデル構成を異なるアベイラビリティーゾーンで使用します。それ以外の場合、シャドウエンドポイントの作成に失敗し、次のエラーで失敗します。

ClientError: エンドポイントSageMaker-CLARiX-エンドポイント-xxxのホスト中にエラーが発生しました:failed 理由: SageMaker サブネットと重複する、要求されたインスタンスタイプ YYY を持つ少なくとも 2 つのアベイラビリティーゾーンを見つけることができません。

モデルが Amazon S3 にモデルファイルを必要とする場合、モデルの Amazon VPC には Amazon S3 VPC エンドポイントが必要です。SageMaker モデル用の Amazon VPC を作成および設定する方法の詳細については、を参照してください。SageMaker ホストエンドポイントへの Amazon VPC のリソースへのアクセス権の付与

SageMaker Clarify ジョブ用にプライベート Amazon VPC を設定する

一般的に、手順に従うことができます。SageMaker 処理用のプライベート VPC の設定をクリックして、SageMaker Clarify ジョブ用にプライベート Amazon VPC を設定します。ここでは、SageMaker Clarifyジョブのためのいくつかのハイライトと特別な要件があります.

Amazon VPC の外部のリソースConnect する

パブリックインターネットにアクセスできないように Amazon VPC を設定する場合、SageMaker Clarify ジョブに Amazon VPC 外のリソースやサービスへのアクセス権を付与するには、追加の設定が必要です。たとえば、SageMaker Clarify ジョブは S3 バケットからデータセットをロードし、分析結果を S3 バケットに保存する必要があるため、Amazon S3 VPC エンドポイントが必要です。詳細については、「」を参照してください。Amazon S3 VPC エンドポイント作成ガイドを参照してください。さらに、SageMaker Clarifyジョブがシャドウエンドポイントから推論を取得する必要がある場合は、AWSのサービス。

  • Amazon SageMaker API サービス VPC エンドポイントを作成する: SageMaker Clarify ジョブは、Amazon SageMaker API サービスを呼び出して、シャドウエンドポイントを操作するか、Amazon VPC 検証用の SageMaker モデルを記述する必要があります。「」にあるガイダンスに従うことができます。すべての Amazon SageMaker API 呼び出しをAWSPrivateLinkブログを使用して、Amazon SageMaker API VPC エンドポイントを作成し、SageMaker Clarify ジョブがサービスコールを実行できるようにします。Amazon SageMaker API サービスのサービス名はcom.amazonaws.region.sagemaker.apiここで、とします。リージョンAmazon VPC が存在するリージョン名です。

  • Amazon SageMaker ランタイム VPC エンドポイントの作成: SageMaker Clarify ジョブは、呼び出しをシャドウエンドポイントにルーティングする Amazon SageMaker ランタイムサービスを呼び出す必要があります。セットアップ手順は、Amazon SageMaker API サービスの手順と似ています。Amazon SageMaker ランタイムサービスのサービス名はcom.amazonaws.region.sagemaker.runtimeここで、とします。リージョンAmazon VPC が存在するリージョン名です。

Amazon VPC セキュリティグループを設定する

SageMaker Clarify ジョブは、次のいずれかの方法で 2 つ以上の処理インスタンスが指定されている場合、分散処理をサポートします。

  • SageMaker コンソール: -Instance Countで指定されているリソース設定の一部です。Job 設定パネルの [] パネル処理ジョブの作成ページで.

  • SageMaker API: -InstanceCountを使用してジョブを作成するときに指定されるCreateProcessingJobAPI.

  • SageMaker Python SDK: -instance_countを使用する場合に指定される。SageMakerクラリフィプロセッサAPI またはプロセッサAPI.

分散型処理では、同じ処理ジョブ内の異なるインスタンス間の通信を許可する必要があります。そのためには、同じセキュリティグループのメンバー間のインバウンド接続を許可するセキュリティグループのルールを設定します。詳細については、 を参照してください。セキュリティグループのルール