翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Inference Recommender Jobs に Amazon のリソースへのアクセスを許可する VPC
注記
推論レコメンダーでは、モデルを Model Registry に登録する必要があります。Model Registry では、モデルアーティファクトまたは Amazon ECRイメージVPCを制限できないことに注意してください。
Inference Recommender には、サンプルペイロード Amazon S3 オブジェクトVPCが制限されていないという要件もあります。推論レコメンデーションジョブの場合、プライベートからのリクエストのみが Amazon S3 バケットVPCにアクセスできるようにするカスタムポリシーを作成することはできません。
プライベート でサブネットとセキュリティグループを指定するにはVPC、 の RecommendationJobVpcConfig
リクエストパラメータを使用するかCreateInferenceRecommendationsJobAPI、 SageMaker コンソールでレコメンデーションジョブを作成するときにサブネットとセキュリティグループを指定します。
推論レコメンダーはこの情報を使用してエンドポイントを作成します。エンドポイントをプロビジョニングするときに、 はネットワークインターフェイス SageMaker を作成し、エンドポイントにアタッチします。ネットワークインターフェイスは、エンドポイントに へのネットワーク接続を提供しますVPC。次に、CreateInferenceRecommendationsJob
へのコールに含める VpcConfig
パラメータの例を示します。
VpcConfig: { "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ], "SecurityGroupIds": [ "sg-0123456789abcdef0" ] }
Inference Recommender ジョブで使用するVPCように Amazon を設定する方法の詳細については、以下のトピックを参照してください。
トピック
サブネットに十分な IP アドレスがあることを確認する
VPC サブネットには、推論レコメンデーションジョブのインスタンスごとに少なくとも 2 つのプライベート IP アドレスが必要です。サブネットとプライベート IP アドレスの詳細については、「Amazon ユーザーガイド」の「Amazon のVPC仕組み」を参照してください。 VPC
Amazon S3 VPCエンドポイントを作成する
インターネットへのアクセスをブロックVPCするように を設定した場合、Inference Recommender は、アクセスを許可するVPCエンドポイントを作成しない限り、モデルを含む Amazon S3 バケットに接続できません。VPC エンドポイントを作成することで、推論レコメンデーションジョブが、データとモデルアーティファクトを保存するバケットにアクセスできるようになります SageMaker。
Amazon S3 VPCエンドポイントを作成するには、次の手順を使用します。
Amazon VPCコンソール
を開きます。 ナビゲーションペインで [ エンドポイント] を選択し、[Create endpoint (エンドポイントの作成)] を選択します。
サービス名 で、 を検索します。ここで
com.amazonaws.
、region
.s3
は が存在するリージョンの名前ですVPC。region
[ゲートウェイタイプ] を選択します。
でVPC、このエンドポイントVPCに使用する を選択します。
[Configure route tables] で、エンドポイントで使用するルートテーブルを選択します。このVPCサービスは、選択した各ルートテーブルにAmazon S3トラフィックを新しいエンドポイントにポイントするルートを自動的に追加します。
ポリシー では、フルアクセス を選択して、 内の任意のユーザーまたはサービスによる Amazon S3 サービスへのフルアクセスを許可しますVPC。
Amazon で実行されている Inference Recommender ジョブのアクセス許可VPCをカスタムIAMポリシーに追加する
AmazonSageMakerFullAccess
管理ポリシーには、エンドポイントで Amazon VPC アクセス用に設定されたモデルを使用するために必要なアクセス許可が含まれています。これらのアクセス許可により、Inference Recommender は Elastic Network Interface を作成し、Amazon で実行されている推論レコメンデーションジョブにアタッチできますVPC。独自のIAMポリシーを使用する場合は、Amazon VPC アクセス用に設定されたモデルを使用するには、そのポリシーに次のアクセス許可を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "ec2:DescribeVpcEndpoints", "ec2:DescribeDhcpOptions", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "*" } ] }
ルートテーブルを設定する
エンドポイントルートテーブルのDNSデフォルト設定を使用して、標準の Amazon S3 URLs (例:
) が解決されるようにします。DNS デフォルト設定を使用しない場合は、エンドポイントルートテーブルを設定して、推論レコメンデーションジョブ内のデータの場所を指定URLsするために使用する が解決することを確認します。VPC エンドポイントルートテーブルの詳細については、「Amazon ユーザーガイド」の「ゲートウェイエンドポイントのルーティング」を参照してください。 VPC http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket
VPC セキュリティグループを設定する
推論レコメンデーションジョブのセキュリティグループでは、Amazon S3 VPCエンドポイントと推論レコメンデーションジョブに使用されるサブネットCIDR範囲へのアウトバウンド通信を許可する必要があります。詳細については、「Amazon ユーザーガイド」の「セキュリティグループルール」および「Amazon エンドポイントによる のサービスへのアクセスの制御VPC」を参照してください。 VPC