Inference Recommender Jobs に Amazon のリソースへのアクセスを許可する VPC - Amazon SageMaker
サブネットに十分な IP アドレスがあることを確認するAmazon S3 VPCエンドポイントを作成するAmazon で実行されている Inference Recommender ジョブのアクセス許可VPCをカスタムIAMポリシーに追加するルートテーブルを設定するVPC セキュリティグループを設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Inference Recommender Jobs に Amazon のリソースへのアクセスを許可する VPC

注記

推論レコメンダーでは、モデルを Model Registry に登録する必要があります。Model Registry では、モデルアーティファクトまたは Amazon ECRイメージVPCを制限できないことに注意してください。

Inference Recommender には、サンプルペイロード Amazon S3 オブジェクトVPCが制限されていないという要件もあります。推論レコメンデーションジョブの場合、プライベートからのリクエストのみが Amazon S3 バケットVPCにアクセスできるようにするカスタムポリシーを作成することはできません。

プライベート でサブネットとセキュリティグループを指定するにはVPC、 の RecommendationJobVpcConfig リクエストパラメータを使用するかCreateInferenceRecommendationsJobAPI、 SageMaker コンソールでレコメンデーションジョブを作成するときにサブネットとセキュリティグループを指定します。

推論レコメンダーはこの情報を使用してエンドポイントを作成します。エンドポイントをプロビジョニングするときに、 はネットワークインターフェイス SageMaker を作成し、エンドポイントにアタッチします。ネットワークインターフェイスは、エンドポイントに へのネットワーク接続を提供しますVPC。次に、CreateInferenceRecommendationsJob へのコールに含める VpcConfig パラメータの例を示します。

VpcConfig: {
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ],
      "SecurityGroupIds": [
          "sg-0123456789abcdef0"
          ]
       }

Inference Recommender ジョブで使用するVPCように Amazon を設定する方法の詳細については、以下のトピックを参照してください。

サブネットに十分な IP アドレスがあることを確認する

VPC サブネットには、推論レコメンデーションジョブのインスタンスごとに少なくとも 2 つのプライベート IP アドレスが必要です。サブネットとプライベート IP アドレスの詳細については、「Amazon ユーザーガイド」の「Amazon のVPC仕組み」を参照してください。 VPC

Amazon S3 VPCエンドポイントを作成する

インターネットへのアクセスをブロックVPCするように を設定した場合、Inference Recommender は、アクセスを許可するVPCエンドポイントを作成しない限り、モデルを含む Amazon S3 バケットに接続できません。VPC エンドポイントを作成することで、推論レコメンデーションジョブが、データとモデルアーティファクトを保存するバケットにアクセスできるようになります SageMaker。

Amazon S3 VPCエンドポイントを作成するには、次の手順を使用します。

  1. Amazon VPCコンソール を開きます。

  2. ナビゲーションペインで [ エンドポイント] を選択し、[Create endpoint (エンドポイントの作成)] を選択します。

  3. サービス名 で、 を検索します。ここでcom.amazonaws.region.s3regionは が存在するリージョンの名前ですVPC。

  4. [ゲートウェイタイプ] を選択します。

  5. VPC、このエンドポイントVPCに使用する を選択します。

  6. [Configure route tables] で、エンドポイントで使用するルートテーブルを選択します。このVPCサービスは、選択した各ルートテーブルにAmazon S3トラフィックを新しいエンドポイントにポイントするルートを自動的に追加します。

  7. ポリシー では、フルアクセス を選択して、 内の任意のユーザーまたはサービスによる Amazon S3 サービスへのフルアクセスを許可しますVPC。

Amazon で実行されている Inference Recommender ジョブのアクセス許可VPCをカスタムIAMポリシーに追加する

AmazonSageMakerFullAccess 管理ポリシーには、エンドポイントで Amazon VPC アクセス用に設定されたモデルを使用するために必要なアクセス許可が含まれています。これらのアクセス許可により、Inference Recommender は Elastic Network Interface を作成し、Amazon で実行されている推論レコメンデーションジョブにアタッチできますVPC。独自のIAMポリシーを使用する場合は、Amazon VPC アクセス用に設定されたモデルを使用するには、そのポリシーに次のアクセス許可を追加する必要があります。

{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        }
    ]
}

ルートテーブルを設定する

エンドポイントルートテーブルのDNSデフォルト設定を使用して、標準の Amazon S3 URLs (例: http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) が解決されるようにします。DNS デフォルト設定を使用しない場合は、エンドポイントルートテーブルを設定して、推論レコメンデーションジョブ内のデータの場所を指定URLsするために使用する が解決することを確認します。VPC エンドポイントルートテーブルの詳細については、「Amazon ユーザーガイド」の「ゲートウェイエンドポイントのルーティング」を参照してください。 VPC

VPC セキュリティグループを設定する

推論レコメンデーションジョブのセキュリティグループでは、Amazon S3 VPCエンドポイントと推論レコメンデーションジョブに使用されるサブネットCIDR範囲へのアウトバウンド通信を許可する必要があります。詳細については、「Amazon ユーザーガイド」の「セキュリティグループルール」および「Amazon エンドポイントによる のサービスへのアクセスの制御VPC」を参照してください。 VPC