インスタンスプロファイルをモデルサービングエンドポイントに追加する

この記事では、インスタンス プロファイルをモデルサービング エンドポイントにアタッチする方法について説明します。 これにより、顧客はインスタンスプロファイルで許可されているモデルから任意の AWS リソースにアクセスできます。 詳しくは、インスタンスプロファイルについての記事をご覧ください。

要件

エンドポイントの作成時にインスタンスプロファイルを追加する

モデルサービング エンドポイントを作成するときに、インスタンス設定をエンドポイント設定に追加できます。

インスタンスプロファイルに対するエンドポイント作成者のアクセス許可は、エンドポイントの作成時に検証されます。

  • サービス提供 UI から、詳細構成でインスタンスを追加できます。

    モデルサービングエンドポイントを作成する
  • プログラムによるワークフローの場合、エンドポイントを作成するときにinstance_profile_arnフィールドを使用してインスタンスを追加します。

    POST /api/2.0/serving-endpoints
    
    {
      "name": "feed-ads",
      "config":{
      "served_entities": [{
        "entity_name": "ads1",
        "entity_version": "1",
        "workload_size": "Small",
        "scale_to_zero_enabled": true,
        "instance_profile_arn": "arn:aws:iam::<aws-account-id>:instance-profile/<instance-profile-name-1>"
        }]
      }
    }
    

インスタンスプロファイルを使用した既存のエンドポイントの更新

また、既存のモデル提供エンドポイント構成を、 instance_profile_arn フィールドを持つインスタンスプロファイルで更新することもできます。

PUT /api/2.0/serving-endpoints/{name}/config

{
  "served_entities": [{
    "entity_name": "ads1",
    "entity_version": "2",
    "workload_size": "Small",
    "scale_to_zero_enabled": true,
    "instance_profile_arn": "arn:aws:iam::<aws-account-id>:instance-profile/<instance-profile-name-2>"
  }]
}

制限

次の制限が適用されます:

  • STS の一時的なセキュリティ資格情報は、データ アクセスの認証に使用されます。 ネットワーク制限を回避することはできません。

  • 顧客が UI の 設定 からインスタンス プロファイルの IAM Databricksロールを編集した場合、インスタンス プロファイルで実行されているエンドポイントは、エンドポイントが更新されるまで古い IAM ロールを引き続き使用します。

  • 顧客が DatabricksUI の 設定 からインスタンスプロファイルを削除し、そのプロファイルが実行中のエンドポイントで使用されている場合、実行中のエンドポイントには影響はありません。

一般的なモデルサービング エンドポイントの制限については、 「モデルサービングの制限とリージョン」を参照してください。

関連リソース