翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
内の SageMaker AI に接続する VPC
インターネット経由で SageMaker API接続するのではなく、仮想プライベートクラウド (VPC) のインターフェイスエンドポイントを介して または Amazon SageMaker Runtime に直接接続できます。VPC インターフェイスエンドポイントを使用すると、 VPCと SageMaker AI APIまたはランタイム間の通信が AWS ネットワーク内で完全かつ安全に実施されます。
VPC インターフェイスエンドポイント経由で SageMaker AI に接続する
および SageMaker AI ランタイムは、 SageMaker APIを使用する Amazon Virtual Private Cloud (Amazon VPC) インターフェイスエンドポイントをサポートしますAWS PrivateLink
VPC インターフェイスエンドポイントは、 SageMaker APIインターネットゲートウェイ、NATデバイス、VPN接続、または AWS Direct Connect 接続を使用 AWS PrivateLink せずに、 を使用して または SageMaker AI ランタイムVPCに直接接続します。のインスタンスは、 または SageMaker AI ランタイムと SageMaker API通信するためにパブリックインターネットに接続VPCする必要はありません。
AWS PrivateLink インターフェイスエンドポイントを作成して、 SageMaker AWS Management Console または AWS Command Line Interface () を使用して AI または SageMaker AI ランタイムに接続できますAWS CLI。手順については、「インターフェイスVPCエンドポイントを使用して AWS サービスにアクセスする」を参照してください。
VPC エンドポイントのプライベートドメインネームシステム (DNS) ホスト名を有効にしていない場合は、VPCエンドポイントを作成した後、 または SageMaker AI ランタイムURLに SageMaker APIインターネットエンドポイントを指定します。 AWS CLI コマンドを使用して endpoint-url
パラメータを指定するコード例を次に示します。
aws sagemaker list-notebook-instances --endpoint-url
VPC_Endpoint_ID
.api.sagemaker.Region
.vpce.amazonaws.com aws sagemaker list-training-jobs --endpoint-urlVPC_Endpoint_ID.api
.sagemaker.Region
.vpce.amazonaws.com aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID
.runtime.sagemaker.Region
.vpce.amazonaws.com \ --endpoint-nameEndpoint_Name
\ --body "Endpoint_Body
" \ --content-type "Content_Type
" \Output_File
VPC エンドポイントのプライベートDNSホスト名を有効にすると、デフォルトのホスト名 (https://api.sagemaker.Region
.amazon.com) がエンドポイントに解決URLされるため、VPCエンドポイントを指定する必要はありません。同様に、デフォルトの SageMaker AI ランタイムDNSホスト名 (https://runtime.sagemaker.Region
.amazonaws.com) もVPCエンドポイントに解決されます。
および SageMaker AI ランタイムは、Amazon VPC SageMaker APIと SageMaker AI の両方 AWS リージョン が利用可能なすべての のVPCエンドポイントをサポートします。 SageMaker AI は、 Operations
内のすべての への呼び出しをサポートしますVPC。AuthorizedUrl
から を使用する場合
CreatePresignedNotebookInstanceUrl コマンドを使用すると、トラフィックはパブリックインターネットを経由します。VPC エンドポイントを使用して署名付き にアクセスすることはできません。リクエストURLはインターネットゲートウェイを経由する必要があります。
デフォルトでは、ユーザーは署名付き を企業ネットワーク外のURLユーザーと共有できます。セキュリティを強化するには、ネットワーク内で使用できる URL のみを制限するIAMアクセス許可を追加する必要があります。アクセスIAM許可の詳細については、「 と AWS PrivateLink の連携IAM」を参照してください。
注記
SageMaker AI ランタイムサービス (https://runtime.sagemaker.
.amazonaws.com) のVPCインターフェイスエンドポイントを設定するときは、プライベートDNS解決が機能するように、クライアントのアベイラビリティーゾーンでVPCインターフェイスエンドポイントがアクティブ化されていることを確認する必要があります。そうしないと、 を解決しようとするとDNS失敗することがありますURL。Region
詳細については AWS PrivateLink、 AWS PrivateLink ドキュメントを参照してください。VPC エンドポイントの料金については、AWS PrivateLink 「
内のリソースでの SageMaker トレーニングとホスティングの使用 VPC
SageMaker AI は実行ロールを使用して、トレーニングコンテナまたは推論コンテナとは別に、Amazon S3 バケットと Amazon Elastic Container Registry (Amazon ECR) から情報をダウンロードしてアップロードします。内にリソースがある場合でもVPC、それらのリソースへの SageMaker AI アクセスを許可できます。以下のセクションでは、ネットワーク分離の有無にかかわらず、リソースを SageMaker AI で使用できるようにする方法について説明します。
ネットワーク分離が有効になっていない場合
トレーニングジョブまたはモデルにネットワーク分離を設定していない場合、 SageMaker AI は次のいずれかの方法を使用してリソースにアクセスできます。
-
SageMaker トレーニングおよびデプロイされた推論コンテナは、デフォルトでインターネットにアクセスできます。 SageMaker AI コンテナは、トレーニングおよび推論ワークロードの一部として、パブリックインターネット上の外部サービスおよびリソースにアクセスできます。 SageMaker 次の図に示すように、AI コンテナはVPC設定VPCなしで 内のリソースにアクセスできません。
-
VPC 設定を使用して、Elastic Network Interface () VPCを介して 内のリソースと通信しますENI。次の図に示すように、コンテナと 内のリソース間の通信VPCはVPC、ネットワーク内で安全に行われます。この場合、VPCリソースとインターネットへのネットワークアクセスを管理します。
ネットワーク分離の使用
ネットワーク分離を使用する場合、次の図に示すように、 SageMaker AI コンテナは 内のリソースと通信VPCしたり、ネットワーク呼び出しを行ったりすることはできません。VPC 設定を指定すると、ダウンロードおよびアップロードオペレーションは を通じて実行されますVPC。の使用中にネットワークを分離してホスティングおよびトレーニングする方法の詳細についてはVPC、「」を参照してくださいネットワークの隔離。
SageMaker AI のVPCエンドポイントポリシーを作成する
SageMaker AI 用の Amazon VPCエンドポイントのポリシーを作成して、以下を指定できます。
-
アクションを実行できるプリンシパル。
-
実行可能なアクション。
-
アクションを実行できるリソース。
詳細については、「Amazon VPCユーザーガイド」のVPC「エンドポイントを使用したサービスへのアクセスの制御」を参照してください。
注記
VPC エンドポイントポリシーは、 の連邦情報処理標準 (FIPS) SageMaker AI ランタイムエンドポイントではサポートされていません。 runtime_InvokeEndpoint.
次のVPCエンドポイントポリシーの例では、VPCインターフェイスエンドポイントにアクセスできるすべてのユーザーが、 という名前の SageMaker AI ホストエンドポイントを呼び出すことができることを指定しますmyEndpoint
。
{ "Statement": [ { "Action": "sagemaker:InvokeEndpoint", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint", "Principal": "*" } ] }
この例では、以下が拒否されます。
-
sagemaker:CreateEndpoint
や などのその他の SageMaker APIアクションsagemaker:CreateTrainingJob
。 -
以外の SageMaker AI ホストエンドポイントの呼び出し
myEndpoint
。
注記
この例では、ユーザーは の外部から他の SageMaker APIアクションを実行できますVPC。内からのAPI呼び出しを制限する方法についてはVPC、「」を参照してくださいアイデンティティベースのポリシーAPIを使用して SageMaker AI へのアクセスを制御する。
Amazon SageMaker Feature Store のVPCエンドポイントポリシーを作成する
Amazon SageMaker Feature Store のVPCエンドポイントを作成するには、次のエンドポイントテンプレートを使用して、 VPC_Endpoint_ID.api
と を置き換えますRegion
。
VPC_Endpoint_ID.api
.featurestore-runtime.sagemaker.Region
.vpce.amazonaws.com
プライベートネットワークを に接続する VPC
を介して および SageMaker AI ランタイムを呼び出す SageMaker APIにはVPC、 内にあるインスタンスから接続VPCするか、 AWS Virtual Private Network (AWS VPN) または VPC を使用してプライベートネットワークを に接続する必要があります AWS Direct Connect。詳細については AWS VPN、VPN「Amazon Virtual Private Cloud ユーザーガイド」の「接続」を参照してください。 Amazon Virtual Private Cloud 詳細については AWS Direct Connect、AWS 「Direct Connect ユーザーガイド」の「接続の作成」を参照してください。