インターネットにアクセスせずに VPC で Amazon SageMaker Canvas を設定する - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インターネットにアクセスせずに VPC で Amazon SageMaker Canvas を設定する

Amazon SageMaker Canvas アプリケーションは、 AWS マネージド型 Amazon Virtual Private Cloud (VPC) 内のコンテナで実行されます。リソースへのアクセスをさらに制御したい場合や、 SageMaker 公共のインターネットにアクセスせずにCanvasを実行したい場合は、 SageMaker AmazonドメインとVPC の設定を行うことができます。独自の VPC では、セキュリティグループ (Amazon EC2 インスタンスからのインバウンドトラフィックとアウトバウンドトラフィックを制御する仮想ファイアウォール) やサブネット (VPC の IP アドレスの範囲) などを設定することができます。VPC の詳細については、「How Amazon VPC works」を参照してください。

SageMaker Canvas AWS アプリケーションがマネージド VPC で実行されている場合、インターネット接続を使用するか、顧客管理の VPC で作成された VPC エンドポイント(パブリックインターネットアクセスなし) AWS を介して他のサービスとやり取りできます。 SageMaker Canvas アプリケーションは、Studio Classic が作成したネットワークインターフェイスを通じてこれらの VPC エンドポイントにアクセスできます。これにより、顧客管理の VPC への接続が可能になります。 SageMaker Canvas アプリケーションのデフォルト動作では、インターネットにアクセスできます。インターネット接続を使用する場合、前述のジョブのコンテナは、トレーニングデータやモデルアーティファクトを保存する Amazon S3 バケットなどの AWS リソースにインターネット経由でアクセスします。

ただし、データやジョブコンテナへのアクセスを制御するセキュリティ要件がある場合は、 SageMaker CanvasとVPC を設定して、データとコンテナにインターネット経由でアクセスできないようにすることをお勧めします。 SageMaker SageMaker Canvas のドメインを設定するときに指定した VPC 設定を使用します。

SageMaker インターネットにアクセスせずにキャンバスアプリケーションを設定する場合は、Amazon SageMaker ドメインへのオンボーディング時にVPC 設定を行い、VPC エンドポイントを設定し、必要な権限を付与する必要があります。 AWS Identity and Access Management Amazon で VPC を設定する方法については SageMaker、を参照してくださいAmazon VPC の選択。以下のセクションでは、パブリックインターネットにアクセスせずに VPC で SageMaker Canvas を実行する方法について説明します。

インターネットにアクセスせずに VPC で Amazon SageMaker Canvas を設定する

SageMaker Canvas から独自の VPC AWS を介して他のサービスにトラフィックを送信できます。自社の VPC にパブリックインターネットアクセスがなく、ドメインを VPC 専用モードで設定している場合、 SageMaker Canvas にはパブリックインターネットアクセスもありません。これには、Amazon S3 のデータセットへのアクセスや標準ビルドのトレーニングジョブなどのすべてのリクエストが含まれ、リクエストはパブリックインターネットではなく VPC の VPC エンドポイントを経由します。ドメインにオンボーディングするとAmazon VPC の選択、必要なセキュリティグループとサブネット設定とともに、独自の VPC をドメインのデフォルト VPC として指定できます。次に、 SageMaker CanvasがVPC内のVPC エンドポイントにアクセスするために使用するネットワークインターフェースをVPC SageMaker に作成します。セキュリティグループとサブネットの設定は、ドメインへのオンボーディングが完了した後に設定されることに注意してください。

ドメインへのオンボーディング時に、ネットワークアクセスタイプとして [パブリックインターネットのみ] を選択すると、VPC SageMaker が管理され、インターネットアクセスが許可されます。

この動作は [VPC only] を選択することで変更できます。これにより、指定した VPC SageMaker SageMaker 内に作成されたネットワークインターフェイスにすべてのトラフィックが送信されます。このオプションを選択する場合、 SageMaker API SageMaker とランタイムとの通信に必要なサブネット、セキュリティグループ、VPC エンドポイント、および Canvas が使用する Amazon S3 や Amazon AWS などのさまざまなサービスを提供する必要があります。 CloudWatch SageMaker VPC と同じリージョンにある Amazon S3 バケットからのみデータをインポートできることに注意してください。

以下の手順は、インターネットなしで SageMaker Canvas を使用するようにこれらの設定を行う方法を示しています。

ステップ 1: Amazon SageMaker ドメインへのオンボーディング

SageMaker Canvas トラフィックをインターネット経由ではなく独自の VPC のネットワークインターフェイスに送信するには、Amazon ドメインへのオンボーディング時に使用する VPC を指定します。 SageMaker また、 SageMaker 使用できる VPC 内のサブネットを少なくとも 2 つ指定する必要があります。ドメインのネットワークとストレージセクションを設定するときは標準セットアップを選択し、以下の手順を実行してください。

  1. 希望する [VPC] を選択します。

  2. 2 つ以上の [サブネット] を選択します。サブネットを指定しない場合、VPC SageMaker 内のすべてのサブネットを使用します。

  3. 1 つ以上の [セキュリティグループ] を選択します。

  4. AWS SageMaker Canvasがホストされている管理対象VPC での直接インターネットアクセスをオフにするには、[VPC のみ] を選択します。

インターネットアクセスを無効にしたら、オンボーディングプロセスを完了してドメインを設定します。Amazon SageMaker ドメインの VPC 設定の詳細については、を参照してくださいAmazon VPC の選択

手順 2: VPC エンドポイントとアクセスを設定する

注記

独自の VPC で Canvas を設定するには、VPC エンドポイントのプライベート DNS ホスト名を有効にする必要があります。詳細については、「VPC SageMaker インターフェイスエンドポイントを介してConnect する」を参照してください。

SageMaker Canvas は、 AWS 機能に必要なデータを管理および保存するためにのみ他のサービスにアクセスします。例えば、ユーザーが Amazon Redshift データベースにアクセスすると、SageMaker Canvas は Amazon Redshift に接続します。インターネット接続または VPC エンドポイントを使用して Amazon Redshift AWS などのサービスに接続できます。VPC AWS からパブリックインターネットを使用しないサービスへの接続を設定する場合は、VPC エンドポイントを使用してください。

VPC エンドポイントは、 AWS パブリックインターネットから分離されたネットワークパスを使用するサービスへのプライベート接続を作成します。たとえば、独自の VPC から VPC エンドポイントを使用して Amazon S3 へのアクセスを設定した場合、 SageMaker Canvas アプリケーションは VPC のネットワークインターフェイスを経由し、次に Amazon S3 に接続する VPC エンドポイントを経由して Amazon S3 にアクセスできます。 SageMaker キャンバスと Amazon S3 間の通信はプライベートです。

VPC エンドポイントの設定の詳細については、「AWS PrivateLink」を参照してください。VPC を使用した Canvas で Amazon Bedrock モデルを使用している場合、データへのアクセスコントロールの詳細については、「Amazon Bedrock ユーザーガイド」の「PC を使用してジョブを保護する」を参照してください。

Canvasで使用できる各サービスのVPC エンドポイントは次のとおりです。 SageMaker

サービス エンドポイント エンドポイントタイプ

AWS Application Auto Scaling

com.amazonaws.Region.application-autoscaling

インターフェイス

Amazon Athena

com.amazonaws.Region.athena

インターフェイス

Amazon SageMaker

com.amazonaws.Region.sagemaker.api

com.amazonaws.Region.sagemaker.runtime

com.amazonaws.Region.notebook

インターフェイス

AWS Security Token Service

com.amazonaws.Region.sts

インターフェイス

Amazon Elastic Container Registry (Amazon ECR)

com.amazonaws.Region.ecr.api

com.amazonaws.Region.ecr.dkr

インターフェイス

Amazon Elastic Compute Cloud (Amazon EC2)

com.amazonaws.Region.ec2

インターフェイス

Amazon Simple Storage Service (Amazon S3)

com.amazonaws.Region.s3

ゲートウェイ

Amazon Redshift

com.amazonaws.Region.redshift-data

インターフェイス

AWS Secrets Manager

com.amazonaws.Region.secretsmanager

インターフェイス

AWS Systems Manager

com.amazonaws.Region.ssm

インターフェイス

Amazon CloudWatch

com.amazonaws.Region.monitoring

インターフェイス

Amazon CloudWatch ログ

com.amazonaws.Region.logs

インターフェイス

Amazon Forecast

com.amazonaws.Region.forecast

com.amazonaws.Region.forecastquery

インターフェイス

Amazon Textract

com.amazonaws.Region.textract

インターフェイス

Amazon Comprehend

com.amazonaws.Region.comprehend

インターフェイス

Amazon Rekognition

com.amazonaws.Region.rekognition

インターフェイス

AWS Glue

com.amazonaws.Region.glue

インターフェイス

AWS Application Auto Scaling

com.amazonaws.Region.application-autoscaling

インターフェイス

Amazon Relational Database Service (Amazon RDS)

com.amazonaws.Region.rds

インターフェイス

Amazon Bedrock

com.amazonaws.Region.bedrock-runtime

インターフェイス

Amazon Kendra

com.amazonaws。 リージョン. ケンドラ

インターフェイス

注記

Amazon Bedrock では、インターフェイスエンドポイントのサービス名 com.amazonaws.Region.bedrock は廃止されました。上の表に記載されているサービス名で新しい VPC エンドポイントを作成します。

さらに、インターネットにアクセスできないCanvas VPCからファンデーションモデルを微調整することはできません。これは、Amazon Bedrock がモデルカスタマイズ API の VPC エンドポイントをサポートしていないためです。Canvas での基盤モデルの微調整の詳細については、「」を参照してください。基礎モデルを微調整してください。

また、Amazon S3 のエンドポイントポリシーを追加して、VPC AWS エンドポイントへのプリンシパルアクセスを制御する必要があります。VPC エンドポイントポリシーを更新する方法については、「Control access to VPC endpoints using endpoint policies」を参照してください。

使用できる VPC エンドポイントポリシーは、次の 2 つです。データのインポートやモデルの作成など、Canvas の基本機能へのアクセスを許可するだけの場合は、1 つ目のポリシーを使用してください。Canvas のその他のジェネレーティブ AI 機能へのアクセスを許可したい場合は、2 つ目のポリシーを使用してください。

Basic VPC endpoint policy

次のポリシーは、Canvas での基本操作に必要なアクセス権限を VPC エンドポイントに付与します。

{ "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }
Generative AI VPC endpoint policy

次のポリシーでは、Canvas での基本的な操作や、ジェネレーティブ AI 基盤モデルの使用に必要なアクセス権限を VPC エンドポイントに付与します。

{ "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*fmeval/datasets*", "arn:aws:s3:::*jumpstart-cache-prod*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }

手順 3: IAM 権限を付与する

SageMaker Canvas ユーザーは VPC AWS Identity and Access Management エンドポイントへの接続を許可するために必要な権限を持っている必要があります。アクセス権限を付与する IAM ロールは、Amazon SageMaker ドメインへのオンボーディング時に使用したロールと同じである必要があります。 SageMaker AmazonSageMakerFullAccess管理ポリシーを IAM ロールにアタッチして、ユーザーに必要なアクセス権限を付与することができます。より制限の厳しい IAM アクセス権限が必要で、代わりにカスタムポリシーを使用する場合は、ユーザーのロールにアクセス権限を付与してください。ec2:DescribeVpcEndpointServices SageMaker Canvasでは、標準ビルドジョブに必要な VPC エンドポイントの存在を確認するためにこれらの権限が必要です。これらの VPC エンドポイントが検出されると、標準ビルドジョブはデフォルトで VPC で実行されます。それ以外の場合は、 AWS デフォルトのマネージド VPC で実行されます。

AmazonSageMakerFullAccess IAM ポリシーをユーザーの IAM ロールにアタッチする方法については、「Adding and removing IAM identity permissions」を参照してください。

ユーザーの IAM ロールに詳細な ec2:DescribeVpcEndpointServices 権限を付与するには、以下の手順に従います。

  1. AWS Management Console にサインインして IAM コンソールを開きます。

  2. ナビゲーションペインで、[ロール] を選択します。

  3. リストで、権限を付与するロールの名前を選択します。

  4. [アクセス許可] タブを選択します。

  5. [アクセス許可を追加][インラインポリシーを作成] の順に選択します。

  6. [JSON] タブを選択し、ec2:DescribeVpcEndpointServices 権限を付与する次のポリシーを入力します。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:DescribeVpcEndpointServices", "Resource": "*" } ] }
  7. [ポリシーの確認] を選択して、ポリシーの [名前] を入力します (例: VPCEndpointPermissions)。

  8. [ポリシーの作成] を選択します。

これで、VPC で設定された VPC エンドポイントにアクセスする権限がユーザーの IAM ロールに付与されました。

(オプション) 手順 4: 特定のユーザーのセキュリティグループ設定を上書きする

管理者はユーザーごとに異なる VPC 設定、またはユーザー固有の VPC 設定が必要な場合があります。特定のユーザーのデフォルト VPC のセキュリティグループ設定を上書きすると、 SageMaker その設定はそのユーザーのキャンバスアプリケーションに渡されます。

Studio Classic で新しいユーザープロファイルを設定するときに、特定のユーザーが VPC 内でアクセスできるセキュリティグループをオーバーライドできます。CreateUserProfile SageMaker API コール(または create_user_profileAWS CLI)を使用して、でそのユーザー用のを指定できます。UserSettings SecurityGroups