Comment résoudre les problèmes liés à l'accès à un projet Amazon SageMaker dans SageMaker Studio ?

Solution

Les projets SageMaker vous permettent de gérer et d'orchestrer des solutions de machine learning de bout en bout. Lorsque vous créez des projets ou que vous y accédez à partir de l'environnement Studio, vous pouvez rencontrer des problèmes pour l'une ou plusieurs des raisons suivantes :

• Autorisations manquantes
• Problèmes de réseau en mode VPC uniquement
• Problèmes liés à l'interface utilisateur de Studio

Autorisations manquantes

Les projets SageMaker s'appuient sur AWS Service Catalog pour utiliser ou créer des modèles de projet et fournir des ressources AWS pour vos comptes. Les utilisateurs de votre domaine Studio peuvent accéder à ces modèles ou les consulter uniquement si des autorisations de projet leur sont accordées.

Si votre utilisateur ne dispose pas des autorisations de projet, un message d'erreur semblable au suivant s'affiche :

Amazon SageMaker project templates aren't enabled for your account.
Contact your administrator to enable SageMaker project templates.

Pour résoudre ce problème, veillez à accorder des autorisations de projet à l'administrateur et aux utilisateurs du rôle d'exécution du domaine.

Vous pouvez également rencontrer des problèmes d'autorisation car l'un des éléments suivants est manquant, supprimé, modifié ou recréé manuellement :

• Une fonction du service créée lorsque vous avez activé les projets SageMaker
• Amazon SageMaker JumpStart

Pour résoudre ce problème, procédez comme suit afin de désactiver les modèles de projet SageMaker et JumpStart :

1.    Ouvrez la console SageMaker.

2.    Dans le panneau de navigation, sélectionnez Domaines.

3.    Afin de sélectionner votre domaine, utilisez le bouton situé en regard du nom de celui-ci. Ensuite, en haut du panneau Domaines, cliquez sur Modifier.

4.    Sur la page Paramètres généraux, cliquez sur Suivant.

5.    Sous SageMaker Projects et JumpStart, désactivez les options Enable Amazon SageMaker project templates and Amazon SageMaker JumpStart for this account (Activer les modèles de projet Amazon SageMaker et Amazon SageMarker JumpStart pour ce compte). Désactivez également les options Enable Amazon SageMaker project templates and Amazon SageMaker JumpStart for Studio users (Activer les modèles de projet Amazon SageMaker et Amazon SageMaker JumpStart pour les utilisateurs de Studio).

6.    Sélectionnez Suivant.

7.    Sur la page des paramètres de RStudio, cliquez sur Suivant.

8.    Sur la page des paramètres Amazon SageMaker Canvas, cliquez sur Soumettre.

9.    Supprimez tous les rôles qui commencent par AmazonSageMakerServiceCatalogProduct*.

10.  Suivez les instructions précédentes afin d'activer les commutateurs qui activent les modèles de projet SageMaker et JumpStart. Cette étape vous permet de créer plusieurs rôles. Pour afficher la liste de vos rôles : sous Projets, choisissez l'onglet Applications, puis Panneau de configuration.

Remarque : pour disposer des autorisations requises afin d'accéder à la console AWS Service Catalog, attachez la politique gérée SageMakerFullAccess aux rôles d'exécution des utilisateurs de votre Studio.

Problèmes de réseau en mode VPC uniquement

L'accès à Internet n'est pas actif avec le type d'accès réseau VPC uniquement. Par conséquent, vous ne pouvez pas exécuter de bloc-notes Studio à moins que les conditions suivantes ne soient remplies :

• Votre VPC possède un point de terminaison d'interface vers l'API et l'environnement d'exécution de SageMaker, ou une passerelle NAT avec accès à Internet.
• Vos groupes de sécurité autorisent les connexions sortantes.

Si vous n'avez pas besoin d'un accès à la passerelle NAT pour votre projet SageMaker, vous devez créer des points de terminaison VPC d'interface (AWS PrivateLink) pour vous connecter à com.amazonaws.[région].servicecatalog. Par exemple, si vous utilisez Studio dans la région AWS eu-west-1, utilisez com.amazonaws.eu-west-1.servicecatalog. Pour plus d'informations, consultez la rubrique Exigences pour utiliser le mode VPC uniquement.

Pour vérifier que les paramètres réseau de votre Studio autorisent la connexion aux points de terminaison de l'API SageMaker et de Service Catalog, exécutez les commandes suivantes à partir d'un terminal système Studio :

Vérifiez l'accès au point de terminaison de l'API SageMaker :

curl -v https://api.sagemaker.example-region.amazonaws.com

Vérifiez l'accès au point de terminaison de Service Catalog dans la région souhaitée :

curl -v https://api.sagemaker.example-region.amazonaws.com

Si le message d'erreur Connection timed out (La connexion a expiré) s'affiche lors de l'exécution de ces commandes, vérifiez que les paramètres réseau de votre VPC sont configurés pour le mode VPC uniquement.

Consultez la liste des projets disponibles depuis le terminal système en exécutant la commande suivante :

$ aws sagemaker list-projects --sort-by CreationTime --sort-order Descending

Si vous ne pouvez pas afficher cette liste dans l'interface de SageMaker Studio, assurez-vous de mettre à jour le domaine de votre Studio. Ensuite, procédez comme suit :

1.    Lancez SageMaker Studio.

2.    Dans la barre latérale gauche, sélectionnez Commands (Commandes).

3.    Recherchez Reset Application State (Réinitialiser l'état de l'application) dans la barre de recherche, puis choisissez cette option.

Remarque : dans JupyterLab 3, la barre latérale gauche ne contient pas de palette de commandes par défaut. Pour ajouter la palette de commandes : dans le menu, cliquez sur View (Affichage), puis dans la barre de menus, sélectionnez Activate Command Palette (Activer la palette de commandes). Vous pouvez également utiliser le raccourci clavier Ctrl + Shift + C.

---