EI を使用するように設定する - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

EI を使用するように設定する

このトピックの手順は、以下のいずれかに該当する場合にのみ使用してください。

  • カスタマイズされたロールまたはアクセス権限ポリシーを使用したい。

  • ホストされるモデルまたはノートブックインスタンスに VPC を使用したい。

注記

実行ロールがすでにある場合、AmazonSageMakerFullAccessマネージドポリシーがアタッチされたマネージドポリシーです (ノートブックインスタンス、トレーニングジョブ、またはコンソールでモデルを作成するときに作成するすべての IAM ロールが該当)。VPC 内の EI モデルまたはノートブックインスタンスに接続していない場合は、Amazon SageMaker で EI を使用するためにこれらの変更を加える必要はありません。

必要なアクセス許可の設定

SageMaker で EI を使用するには、ノートブックインスタンスを開くため、またはデプロイ可能なモデルを作成するために使用するロールに、必要なアクセス権限がアタッチされたポリシーが必要です。必要なアクセス権限を含む AmazonSageMakerFullAccess マネージドポリシーをロールにアタッチすることも、必要なアクセス権限を持つカスタムポリシーを追加することもできます。IAM ロールの作成の詳細については、「」を参照してください。でのロールの作成AWSサービス(コンソール)()AWS Identity and Access Managementユーザーガイド。ロールにポリシーをアタッチする方法の詳細については、IAM ドキュメントの IAM ポリシーの追加と削除を参照してください。

これらのアクセス権限は特に、IAM ポリシーで EI を接続するために追加します。

{ "Effect": "Allow", "Action": [ "elastic-inference:Connect", "ec2:DescribeVpcEndpoints" ], "Resource": "*" }

次の IAM ポリシーは、SageMaker で EI を使用するために必要なアクセス許可の完全なリストです。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elastic-inference:Connect", "ec2:DescribeVpcEndpoints" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sagemaker:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", "ecr:BatchCheckLayerAvailability", "cloudwatch:PutMetricData", "cloudwatch:PutMetricAlarm", "cloudwatch:DescribeAlarms", "cloudwatch:DeleteAlarms", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeleteScheduledAction", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:PutScalingPolicy", "application-autoscaling:PutScheduledAction", "application-autoscaling:RegisterScalableTarget", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:GetLogEvents", "logs:PutLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } } ] }

カスタム VPC を使用して EI に接続する

VPC 内で SageMaker とともに EI を使用するには、2 つのセキュリティグループを作成して設定し、PrivateLink VPC インターフェイスエンドポイントを設定する必要があります。EI は、VPC インターフェイスエンドポイントを使用して、VPC 内の SageMaker エンドポイントと通信します。作成したセキュリティグループは、VPC インターフェイスエンドポイントへの接続に使用されます。

EI に接続するためのセキュリティグループを設定する

VPC 内で EI を使用するには、2 つのセキュリティグループを作成する必要があります。

  • EI 用に設定する VPC インターフェイスエンドポイントへのアクセスを制御するためのセキュリティグループ。

  • SageMaker が最初のセキュリティグループに呼び出しを許可するセキュリティグループ。

2 つのセキュリティグループを設定するには

  1. アウトバウンド接続のないセキュリティグループを作成します。これを、次のセクションで作成する VPC エンドポイントインターフェイスにアタッチします。

  2. インバウンド接続がなく、最初のセキュリティグループへのアウトバウンド接続がある、2 番目のセキュリティグループを作成します。

  3. 最初のセキュリティグループを編集して、2 番目のセキュリティグループのみへのインバウンド接続とすべてのアウトバウンド接続を許可します。

VPC セキュリティグループの詳細については、「」を参照してください。VPC のセキュリティグループ()Amazon Virtual Private Cloud ユーザーガイド

カスタム VPC 内で SageMaker とともに EI を使用するには、EI サービス用に VPC インターフェイスエンドポイント (PrivateLink) を設定する必要があります。

  • EI 用の VPC インターフェイスエンドポイント (PrivateLink) を設定します。インターフェイスエンドポイントの作成の指示に従ってください。. サービスのリストで com.amazonaws<region>.elastic-inference.runtime を選択します。[セキュリティグループ] で、エンドポイントに対して前のセクションで作成した最初のセキュリティグループを必ず選択してください。

  • インターフェイスエンドポイントを設定するときに、EI を使用できるすべてのアベイラビリティーゾーンを選択します。2 以上つのアベイラビリティーゾーンを設定しないと、EI は失敗します。VPC サブネットについては、VPC とサブネットを参照してください。