EI を使用するように設定する

このトピックの手順は、以下のいずれかに該当する場合にのみ使用してください。

• カスタマイズされたロールまたはアクセス権限ポリシーを使用したい。

• ホストされるモデルまたはノートブックインスタンスに VPC を使用したい。

注記

AmazonSageMakerFullAccess 管理ポリシーがアタッチされた実行ロールが既にあり (これは、ノートブックインスタンス、トレーニングジョブ、またはコンソールでモデルを作成するときに作成する IAM ロールに当てはまります）、VPC 内の EI モデルまたはノートブックインスタンスに接続していない場合は、Amazon で EI を使用するためにこれらの変更を加える必要はありません SageMaker。

必要なアクセス許可の設定

で EI を使用するには SageMaker、ノートブックインスタンスのオープンやデプロイ可能なモデルの作成に使用するロールに、必要なアクセス許可がアタッチされたポリシーが必要です。必要なアクセス権限を含む AmazonSageMakerFullAccess マネージドポリシーをロールにアタッチすることも、必要なアクセス権限を持つカスタムポリシーを追加することもできます。IAM ロールの作成の詳細については、 AWS Identity and Access Management ユーザーガイドの「 AWS サービス用のロールの作成 (コンソール）」を参照してください。ロールにポリシーをアタッチする方法の詳細については、IAM ドキュメントの IAM ポリシーの追加と削除を参照してください。

EI を接続するために、これらの許可を明確に IAM ポリシーに追加します。

{
    "Effect": "Allow",
    "Action": [
        "elastic-inference:Connect",
        "ec2:DescribeVpcEndpoints"
    ],
    "Resource": "*"
}
            

次の IAM ポリシーは、 で EI を使用するために必要なアクセス許可の完全なリストです SageMaker。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elastic-inference:Connect",
                "ec2:DescribeVpcEndpoints"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken",
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchGetImage",
                "ecr:BatchCheckLayerAvailability",
                "cloudwatch:PutMetricData",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:DeleteAlarms",
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "application-autoscaling:DeleteScalingPolicy",
                "application-autoscaling:DeleteScheduledAction",
                "application-autoscaling:DeregisterScalableTarget",
                "application-autoscaling:DescribeScalableTargets",
                "application-autoscaling:DescribeScalingActivities",
                "application-autoscaling:DescribeScalingPolicies",
                "application-autoscaling:DescribeScheduledActions",
                "application-autoscaling:PutScalingPolicy",
                "application-autoscaling:PutScheduledAction",
                "application-autoscaling:RegisterScalableTarget",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:GetLogEvents",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "s3:ExistingObjectTag/SageMaker": "true"
                }
            }
        },
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "sagemaker.amazonaws.com"
                }
            }
        }
    ]
}
            

カスタム VPC を使用して EI に接続する

VPC SageMaker で EI を で使用するには、2 つのセキュリティグループを作成して設定し、 PrivateLink VPC インターフェイスエンドポイントを設定する必要があります。EI は VPC インターフェイスエンドポイントを使用して VPC 内の SageMaker エンドポイントと通信します。作成したセキュリティグループは、VPC インターフェイスエンドポイントへの接続に使用されます。

EI に接続するためのセキュリティグループを設定する

VPC 内で EI を使用するには、2 つのセキュリティグループを作成する必要があります。

• EI 用に設定する VPC インターフェイスエンドポイントへのアクセスを制御するためのセキュリティグループ。

• SageMaker が最初のセキュリティグループを呼び出すことを許可するセキュリティグループ。

2 つのセキュリティグループを設定するには

1. アウトバウンド接続のないセキュリティグループを作成します。これを、次のセクションで作成する VPC エンドポイントインターフェイスにアタッチします。

2. インバウンド接続がなく、最初のセキュリティグループへのアウトバウンド接続がある、2 番目のセキュリティグループを作成します。

3. 最初のセキュリティグループを編集して、2 番目のセキュリティグループのみへのインバウンド接続とすべてのアウトバウンド接続を許可します。

VPC セキュリティグループの詳細については、Amazon Virtual Private Cloud ユーザーガイドの「VPC のセキュリティグループ」を参照してください。

EI に接続するための VPC インターフェイスエンドポイントを設定する

カスタム VPC SageMaker で EI を で使用するには、EI サービスの VPC インターフェイスエンドポイント (PrivateLink) を設定する必要があります。

• EI 用の VPC インターフェイスエンドポイント (PrivateLink) を設定します。インターフェイスエンドポイントの作成の指示に従ってください。。サービスのリストで com.amazonaws<region>.elastic-inference.runtime を選択します。[セキュリティグループ] で、エンドポイントに対して前のセクションで作成した最初のセキュリティグループを必ず選択してください。

• インターフェイスエンドポイントを設定するときに、EI を使用できるすべてのアベイラビリティーゾーンを選択します。2 以上つのアベイラビリティーゾーンを設定しないと、EI は失敗します。VPC サブネットについては、VPC とサブネットを参照してください。