Connect 先 SageMaker VPC インターフェイスエンドポイント経由使用する SageMaker VPC 内のリソースを使ったトレーニングとホスティングの VPC エンドポイントポリシーを作成する SageMaker Amazon の VPC エンドポイントポリシーの作成 SageMaker フィーチャーストアプライベートネットワークを VPC に接続する

Connect 先 SageMaker お客様の VPC 内

に直接接続できます SageMaker API またはアマゾンに SageMaker によるランタイムインターフェイスエンド名インターネット経由で接続する代わりに、仮想プライベートクラウド（VPC）で使用できます。VPC インターフェイスエンドポイントを使用する場合、VPC と VPC 間の通信 SageMakerAPI またはランタイムは内部で完全かつ安全に行われます。AWSネットワーク。

Connect 先 SageMaker VPC インターフェイスエンドポイント経由

は SageMaker API と SageMaker ランタイムサポートAmazon Virtual Private Cloud(Amazon VPC) によって提供されるインターフェイスエンドポイントAWS PrivateLink。各 VPC エンドポイントは、VPC サブネット内の 1 つ以上の Elastic Network Interface とプライベート IP アドレスで表されます。たとえば、VPC 内のアプリケーションではAWS PrivateLinkと通信するには SageMaker ランタイム。 SageMaker次に、ランタイムはと通信します。 SageMaker エンドポイント。使用するAWS PrivateLinkを呼び出すことができます SageMaker 次の図の VPC 内のエンドポイントです。

VPC へのアクセスAWS PrivateLinkと通信するには SageMaker エンドポイント。

VPC インターフェースエンドポイントは、VPC に直接接続します。 SageMaker API または SageMaker ランタイム使用AWS PrivateLinkインターネットゲートウェイ、NAT デバイス、VPN 接続を使用せず、AWS Direct Connect接続。VPC 内のインスタンスは、通信する場合、パブリックインターネットに接続する必要はありません。 SageMaker API または SageMaker ランタイム。

次のものを作成できますAWS PrivateLink接続するインターフェースエンドポイント SageMaker または SageMaker以下のいずれかを使用したランタイムAWS Management ConsoleまたはAWS Command Line Interface(AWS CLI)。手順については、「インターフェイスエンドポイントの作成」を参照してください。

VPC エンドポイントのプライベートドメインネームシステム (DNS) ホスト名を有効にしていない場合は、VPC エンドポイントを作成した後に、インターネットエンドポイント URL を指定します。 SageMaker API または SageMaker ランタイム。を使用したコード名AWS CLIを指定するコマンドendpoint-urlパラメータは以下のとおりです。


aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker-runtime invoke-endpoint --endpoint-url VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com  \
    --endpoint-name Endpoint_Name \
    --body "Endpoint_Body" \
    --content-type "Content_Type" \
            Output_File

VPC エンドポイントでプライベート DNS ホスト名を有効にする場合はデフォルトのホスト名 (https://api.sagemaker) なので、エンドポイント URL を指定する必要はありません。リージョン.amazon.com) によって、お客様の VPC エンドポイントに送信されます。同様に、デフォルトです。 SageMaker ランタイム DNS ホスト名 (https://runtime.sagemaker。リージョン.amazonaws.com) は、お客様の VPC エンドポイントにも関連付けられます。

ザ・ SageMaker API と SageMaker ランタイムはすべての VPC エンドポイントをサポートAWS リージョンただし、両方ともAmazon VPC についてそしてSageMaker利用可能です SageMaker そのすべてへの呼び出しをサポートしますOperationsVPC の内部にあります。その結果です。AuthorizedUrlから CreatePresignedNotebookInstanceUrlコマンドは以下ではサポートされていませんAWS PrivateLink。ユーザーがノートブックインスタンスに接続するために使う承認された URL の AWS PrivateLink を有効にする方法については、「VPC インターフェイスエンドポイントを介してノートブックインスタンスに接続する」を参照してください。

注記

の VPC インターフェイスエンドポイントを設定する場合 SageMaker ランタイムサービス (https://runtime.sagemaker。Region.amazonaws.com) の場合、プライベート DNS 解決が機能するためには、クライアントのアベイラビリティーゾーンで VPC インターフェイスエンドポイントがアクティブ化されていることを確認する必要があります。そうしないと、URL を解決しようとしたときに DNS 障害が発生する可能性があります。

AWS PrivateLink の詳細については、AWS PrivateLink ドキュメントを参照してください。を参照してください。AWS PrivateLink価格設定VPC エンドポイントの料金です。VPC およびエンドポイントの詳細については、「Amazon VPC」を参照してください。ID ベースの使用方法については、を参照してください。AWS Identity and Access Managementアクセスアクセス用に SageMaker API と SageMaker ランタイム、「」を参照してください。へのアクセスの制御 SageMaker ID ベースのポリシーを使用して、以下のようにしています。。

使用する SageMaker VPC 内のリソースを使ったトレーニングとホスティング

SageMaker 実行ロールを使用して、トレーニングコンテナや推論コンテナとは切り離して、Amazon S3 バケットと Amazon Elastic Container レジストリ (Amazon ECR) から情報をダウンロードおよびアップロードします。VPC 内にリソースがある場合でも、付与できます SageMaker それらのリソースへのアクセス以下のセクションでは、リソースを利用可能にする方法について説明します。 SageMaker ネットワーク分離の有無にかかわらず。

ネットワーク分離が有効になっていない場合

トレーニングジョブまたはモデルにネットワーク分離を設定していない場合は、 SageMaker は、以下のいずれかの方法を使うことを選択した場合、リソースにアクセスできます。

SageMaker トレーニングコンテナーとデプロイされた推論コンテナーは、デフォルトでインターネットにアクセスできます。 SageMaker コンテナは、トレーニングや推論のワークロードの一部として、パブリックインターネット上の外部サービスやリソースにアクセスできます。 SageMaker 次の図に示すように、コンテナは VPC 設定なしでは VPC 内のリソースにアクセスできません。
VPC 設定を使用して、elastic network interface (ENI) を介して VPC 内のリソースと通信します。コンテナと VPC 内のリソース間の通信は、次の図に示すように VPC ネットワーク内で安全に行われます。この場合、VPC リソースとインターネットへのネットワークアクセスを管理します。

ネットワーク分離機能付き

ネットワーク分離を採用すると、 SageMaker 次の図に示すように、コンテナは、VPC 内のリソースと通信したり、ネットワーク呼び出しを行ったりすることはできません。VPC 設定を指定すると、ダウンロードとアップロードの操作は VPC を通じて実行されます。VPC 使用時のネットワーク分離によるホスティングとトレーニングの詳細については、以下を参照してください。ネットワークの隔離。

SageMaker VPC 設定で VPC 内のリソースにアクセスして通信できます。

の VPC エンドポイントポリシーを作成する SageMaker

Amazon VPC エンドポイントのポリシーは、 SageMaker 以下を指定します。

アクションを実行できるプリンシパル。
実行可能なアクション。
このアクションを実行できるリソース。

詳細については、『Amazon VPC ユーザーガイド』の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

注記

VPC エンドポイントポリシーは、連邦情報処理標準 (FIPS) に対して連邦情報処理標準 (FIPS) に対して連邦情報処理標準 (FIP SageMaker のランタイムエンドポイントruntime_InvokeEndpoint。

次の VPC エンドポイントポリシーは、VPC インターフェイスエンドポイントにアクセスできるすべてのユーザーに、の呼び出しを許可される点を除いて、 SageMaker という名前のホストエンドポイントmyEndpoint。


{
  "Statement": [
      {
          "Action": "sagemaker:InvokeEndpoint",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
          "Principal": "*"
      }
  ]
}

この例では、以下が拒否されます。

その他 SageMaker API アクション (例:sagemaker:CreateEndpointそしてsagemaker:CreateTrainingJob。
呼び出す SageMaker 以外のホストエンドポイントmyEndpoint。

注記

この例によって、ユーザは、他のものを取ることができます。 SageMaker VPC アクセス用に API アクションを設定します。VPC 内からこれらの API コールを制限する方法については、「へのアクセスの制御 SageMaker ID ベースのポリシーを使用して、以下のようにしています。」を参照してください。

Amazon の VPC エンドポイントポリシーの作成 SageMaker フィーチャーストア

Amazon 用の VPC エンドポイントを作成するには、以下のようにしています。 SageMaker Feature Store は、以下のエンドポイントテンプレートを以下のエンドポイントテンプレートに置き換えて使用します。VPC_Endpoint_ID.APIそして地域:

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

プライベートネットワークを VPC に接続する

を呼び出すには SageMaker API と SageMaker VPC から実行する場合は、VPC 内にあるインスタンスから接続するか、またはからプライベートネットワークを VPC に接続する必要があります。AWS Virtual Private Network(AWS VPN) またはAWS Direct Connect。AWS VPN の詳細については、Amazon Virtual Private Cloud ユーザーガイドの「VPN 接続」を参照してください。AWS Direct Connect の詳細については、AWS Direct Connect ユーザーガイドの「接続を作成する」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

トレーニングおよび推論コンテナをインターネット無料モードで実行する

VPC エンドポイント経由で Studio に接続する