Amazon VPC のリソースへのアクセス権を Amazon SageMaker Clarify ジョブに付与する

データおよび SageMaker Clarify ジョブへのアクセスを制御するには、プライベート Amazon VPC を作成して設定し、パブリックインターネット経由でジョブにアクセスできないようにすることをお勧めします。処理ジョブ用の Amazon VPC の作成および設定については、「Amazon VPC のリソースへのアクセス権を SageMaker 処理ジョブに付与する」を参照してください。

このドキュメントでは、SageMaker Clarify ジョブの要件を満たす追加の Amazon VPC 設定を追加する方法を説明します。

Amazon VPC アクセス用に SageMaker Clarify ジョブを設定する

SageMaker Clarify ジョブ用にプライベート Amazon VPC を設定するときはサブネットとセキュリティグループを指定し、モデル予測の説明に役立つトレーニング後のバイアスメトリクスと特徴量の寄与を計算するときは、ジョブが SageMaker AI モデルから推論を取得できるようにする必要があります。

トピック

• SageMaker Clarify ジョブ Amazon VPC サブネットとセキュリティグループ

• 推論用にモデル Amazon VPC を設定する

SageMaker Clarify ジョブ Amazon VPC サブネットとセキュリティグループ

プライベート Amazon VPC のサブネットとセキュリティグループは、ジョブの作成方法に応じて、さまざまな方法で SageMaker Clarify ジョブに割り当てることができます。

• SageMaker AI コンソール: SageMaker AI ダッシュボードでジョブを作成するときに、この情報を指定します。[Processing] (処理) メニューで [Processing jobs] (処理ジョブ) を選択し、[Create processing job] (処理ジョブを作成) を選択します。[ネットワーク] パネルで [VPC] オプションを選択し、ドロップダウンリストを使用してサブネットとセキュリティグループを指定します。このパネルにあるネットワーク分離オプションがオフになっていることを確認します。

• SageMaker API: 以下の例に示されているように、CreateProcessingJob API の NetworkConfig.VpcConfig リクエストパラメータを使用します。

  "NetworkConfig": {
      "VpcConfig": {
          "Subnets": [
              "subnet-0123456789abcdef0",
              "subnet-0123456789abcdef1",
              "subnet-0123456789abcdef2"
          ],
          "SecurityGroupIds": [
              "sg-0123456789abcdef0"
          ]
      }
  }

• SageMaker Python SDK: 以下の例に示されているように、SageMakerClarifyProcessor API または Processor API の NetworkConfig パラメータを使用します。

  from sagemaker.network import NetworkConfig
  network_config = NetworkConfig(
      subnets=[
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2",
      ],
      security_group_ids=[
          "sg-0123456789abcdef0",
      ],
  )

SageMaker AI は、この情報を使用してネットワークインターフェイスを作成し、SageMaker Clarify ジョブにアタッチします。ネットワークインターフェイスは、パブリックインターネットに接続されていない Amazon VPC 内のネットワーク接続を SageMaker Clarify ジョブに提供します。また、プライベート Amazon VPC 内のリソースへの接続を SageMaker Clarify ジョブに許可します。

注記

SageMaker Clarify ジョブがシャドウエンドポイントと通信できるように、SageMaker Clarify ジョブのネットワーク分離オプションをオフにする必要があります (デフォルトではこのオプションはオフになっています)。

推論用にモデル Amazon VPC を設定する

トレーニング後のバイアスメトリクスと説明可能性を計算するには、SageMaker Clarify ジョブは、SageMaker Clarify 処理ジョブの分析設定の model_nameパラメータで指定された SageMaker AI モデルから推論を取得する必要があります。または、SageMaker AI Python SDK で SageMakerClarifyProcessor API を使用する場合、ジョブは ModelConfig クラスでmodel_name指定された を取得する必要があります。これを実現するために、SageMaker Clarify ジョブは、シャドウエンドポイントと呼ばれるモデルを持つエフェメラルエンドポイントを作成し、モデルの Amazon VPC 設定をシャドウエンドポイントに適用します。

プライベート Amazon VPC のサブネットとセキュリティグループを SageMaker AI モデルに指定するには、 CreateModel API の VpcConfig リクエストパラメータを使用するか、コンソールの SageMaker AI ダッシュボードを使用してモデルを作成するときにこの情報を指定します。次に、VpcConfig への呼び出しに含める CreateModel パラメータの例を示します。

"VpcConfig": {
    "Subnets": [
        "subnet-0123456789abcdef0",
        "subnet-0123456789abcdef1",
        "subnet-0123456789abcdef2"
    ],
    "SecurityGroupIds": [
        "sg-0123456789abcdef0"
    ]
}

起動するシャドウエンドポイントのインスタンス数は、SageMaker Clarify 処理ジョブの分析設定の initial_instance_count パラメータで指定できます。または、SageMaker AI Python SDK で SageMakerClarifyProcessor API を使用する場合、ジョブは ModelConfig クラスでinstance_count指定された を取得する必要があります。

注記

シャドウエンドポイントの作成時にインスタンスを 1 つだけリクエストする場合でも、個別のアベイラビリティーゾーン内のモデルの ModelConfig には少なくとも 2 つのサブネットが必要です。2 つ以上のサブネットがない場合は、シャドウエンドポイントの作成に失敗し、次のエラーが表示されます。

ClientError: Error hosting endpoint sagemaker-clarify-endpoint-XXX: Failed. 理由: SageMaker AI サブネットと重複するリクエストされたインスタンスタイプ YYY のアベイラビリティーゾーンが少なくとも 2 つ (複数可) 見つかりません。

モデルで Amazon S3 のモデルファイルが必要な場合、モデル Amazon VPC には Amazon S3 VPC エンドポイントが必要です。SageMaker AI モデル用の Amazon VPC の作成と設定の詳細については、「」を参照してくださいSageMaker AI ホストエンドポイントに Amazon VPC 内のリソースへのアクセスを許可する。

SageMaker Clarify ジョブ用にプライベート Amazon VPC を設定する

SageMaker Clarify ジョブ用にプライベート Amazon VPC を設定する場合は、通常、「Configure Your Private VPC for SageMaker Processing」(SageMaker Processing 用のプライベート VPC を設定する) の手順に従います。ここでは、SageMaker Clarify ジョブのハイライトと特別な要件をいくつか紹介します。

トピック

• Amazon VPC 外部のリソースに接続する

• Amazon VPC セキュリティグループを設定する

Amazon VPC 外部のリソースに接続する

パブリックインターネットにアクセスできないように Amazon VPC を設定する場合は、SageMaker Clarify ジョブに Amazon VPC 外部のリソースやサービスへのアクセス権を付与するための、追加設定が必要になります。例えば、SageMaker Clarify ジョブは S3 バケットからデータセットをロードし、分析結果を S3 バケットに保存しなければならないため、Amazon S3 VPC エンドポイントが必要です。詳細については、作成ガイドの「Amazon S3 VPC エンドポイント」を参照してください。さらに、SageMaker Clarify ジョブがシャドウエンドポイントから推論を取得する必要がある場合は、さらにいくつかの AWS サービスを呼び出す必要があります。

• Amazon SageMaker API サービス VPC エンドポイントを作成する: SageMaker Clarify ジョブは Amazon SageMaker API サービスを呼び出してシャドウエンドポイントを操作したり、Amazon VPC 検証用の SageMaker AI モデルを記述したりする必要があります。「すべての Amazon SageMaker API コールを AWS PrivateLink で保護する」のブログにあるガイダンスに従うと、SageMaker Clarify ジョブにサービスの呼び出しを許可する Amazon SageMaker API VPC エンドポイントを作成できます。Amazon SageMaker API サービスのサービス名は com.amazonaws.region.sagemaker.api です。この場合、region は、Amazon VPC が存在するリージョンの名前になります。

• Amazon SageMaker AI ランタイム VPC エンドポイントを作成する: SageMaker Clarify ジョブは、呼び出しをシャドウエンドポイントにルーティングする Amazon SageMaker AI ランタイムサービスを呼び出す必要があります。設定手順は、Amazon SageMaker API サービスの設定手順とほぼ同じです。Amazon SageMaker AI ランタイムサービスのサービス名は であることに注意してください。ここでcom.amazonaws.region.sagemaker.runtime、region は Amazon VPC が存在するリージョンの名前です。

Amazon VPC セキュリティグループを設定する

SageMaker Clarify ジョブは、以下のいずれかの方法で 2 つ以上の処理インスタンスが指定されている場合、分散処理をサポートします。

• SageMaker AI コンソール: インスタンス数は、処理ジョブの作成ページのジョブ設定パネルのリソース設定部分で指定されます。

• SageMaker API: CreateProcessingJob API を使用してジョブを作成するときに InstanceCount を指定する場合。

• SageMaker Python SDK: SageMakerClarifyProcessor API または Processor API を使用して instance_count を指定する場合。

分散型処理では、同じ処理ジョブ内の異なるインスタンス間の通信を許可する必要があります。そのためには、同じセキュリティグループのメンバー間のインバウンド接続を許可するセキュリティグループのルールを設定します。詳細については、「セキュリティグループルール」を参照してください。