VPC SageMaker 内へのConnect - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC SageMaker 内へのConnect

インターネット経由で接続する代わりに、仮想プライベートクラウド (VPC) のインターフェイスエンドポイントを介して SageMaker API または Amazon SageMaker Runtime に直接接続できます。VPC インターフェースエンドポイントを使用すると、VPC と SageMaker API またはランタイム間の通信は、ネットワーク内で完全かつ安全に行われます。 AWS

VPC SageMaker インターフェイスエンドポイント経由でConnect

SageMaker API SageMaker とランタイムは、によって動作する Amazon Virtual Private Cloud (Amazon VPC) インターフェイスエンドポイントをサポートします。AWS PrivateLink各 VPC エンドポイントは、VPC サブネット内の 1 つ以上の Elastic Network Interface とプライベート IP アドレスで表されます。たとえば、VPC 内のアプリケーションは SageMaker Runtime との通信に使用されます。 AWS PrivateLink SageMaker次に、ランタイムはエンドポイントと通信します。 SageMaker AWS PrivateLink を使用すると、次の図に示すように VPC SageMaker 内からエンドポイントを呼び出すことができます。


                VPC AWS PrivateLink SageMaker  はエンドポイントとの通信に使用されます。

VPC インターフェースエンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、 AWS PrivateLink または接続を使用せずに、VPC を SageMaker API SageMaker AWS Direct Connect またはランタイムに直接接続します。VPC 内のインスタンスは、 SageMaker API SageMaker またはランタイムと通信するためにパブリックインターネットに接続する必要はありません。

または AWS Command Line Interface (AWS CLI) を使用して、 SageMaker Runtime AWS PrivateLink SageMaker AWS Management Console に接続またはランタイムに接続するインターフェイスエンドポイントを作成できます。手順については、「インターフェイス VPC AWS エンドポイントを使用してサービスにアクセスする」を参照してください。

VPC エンドポイントのプライベートドメインネームシステム (DNS) ホスト名を有効にしていない場合は、VPC エンドポイントを作成した後に、 SageMaker API またはランタイムにインターネットエンドポイント URL を指定します。 SageMaker AWS CLI コマンドを使用してパラメータを指定するコード例を以下に示します。endpoint-url

aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \ --endpoint-name Endpoint_Name \ --body "Endpoint_Body" \ --content-type "Content_Type" \ Output_File

VPC エンドポイントのプライベート DNS ホスト名を有効にする場合は、デフォルトのホスト名 (https://api.sagemaker.Region.amazon.com) が VPC エンドポイントに解決されるため、エンドポイント URL を指定する必要はありません。同様に、 SageMaker デフォルトのランタイム DNS ホスト名 (https://runtime.sagemaker)。 リージョン (.amazonaws.com) も VPC エンドポイントに解決されます。

SageMaker API SageMaker とランタイムは、Amazon VPC AWS リージョン とが利用可能なすべての場所で VPC エンドポイントをサポートします。SageMaker SageMaker VPC 内のすべての呼び出しをサポートします。OperationsAuthorizedUrlからを使用する場合 CreatePresignedNotebookInstanceUrlコマンドを実行すると、トラフィックはパブリックインターネットを経由します。VPC エンドポイントだけを使用して署名済み URL にアクセスすることはできません。リクエストはインターネットゲートウェイを経由する必要があります。

デフォルトでは、ユーザーは署名済み URL を企業ネットワーク外のユーザーと共有できます。セキュリティを強化するには、IAM 権限を追加して URL をネットワーク内でのみ使用できるように制限する必要があります。IAM 権限について詳しくは、「IAM AWS PrivateLink との連携方法」を参照してください。

注記

SageMaker ランタイムサービス (https://runtime.sagemaker) の VPC インターフェイスエンドポイントをセットアップする場合 Region.amazonaws.com) の場合、プライベート DNS 解決が機能するためには、クライアントのアベイラビリティーゾーンで VPC インターフェイスエンドポイントがアクティブ化されていることを確認する必要があります。アクティブ化されていないと、URL を解決しようとしたときに DNS 障害が発生する可能性があります。

詳細については、ドキュメントを参照してください。 AWS PrivateLinkAWS PrivateLinkVPC エンドポイントの料金については、「AWS PrivateLink の料金」を参照してください。VPC およびエンドポイントの詳細については、「Amazon VPC」を参照してください。ID AWS Identity and Access Management ベースのポリシーを使用して SageMaker API SageMaker とランタイムへのアクセスを制限する方法については、を参照してください。ID ベースのポリシーを使用して SageMaker API へのアクセスを制御します。

VPC SageMaker 内のリソースを使ったトレーニングとホスティングの使用

SageMaker 実行ロールを使用して、トレーニングコンテナや推論コンテナとは切り離して、Amazon S3 バケットと Amazon Elastic Container レジストリ (Amazon ECR) から情報をダウンロードおよびアップロードします。VPC 内にリソースがある場合でも、 SageMaker それらのリソースへのアクセスを許可できます。以下のセクションでは、ネットワークを隔離するかどうかにかかわらず、 SageMaker リソースを利用できるようにする方法について説明します。

ネットワーク分離が有効になっていない場合

トレーニングジョブまたはモデルにネットワーク分離を設定していない場合は、 SageMaker 次のいずれかの方法でリソースにアクセスできます。

  • SageMaker トレーニングコンテナとデプロイされた推論コンテナは、デフォルトでインターネットにアクセスできます。 SageMaker コンテナは、トレーニングや推論のワークロードの一部として、パブリックインターネット上の外部サービスやリソースにアクセスできます。 SageMaker 次の図に示すように、コンテナは VPC 設定なしでは VPC 内のリソースにアクセスできません。

    
                            SageMaker VPC 設定がないと VPC 内のリソースにアクセスできません。
  • VPC 設定を使用して、elastic network interface (ENI) 経由で VPC 内のリソースと通信します。次の図に示すように、コンテナと VPC 内のリソース間の通信は VPC ネットワーク内で安全に行われます。この場合、VPC リソースとインターネットへのネットワークアクセスを管理します。

    
                            SageMaker VPC 設定で VPC 内のリソースにアクセスして通信できます。

ネットワーク分離の使用

ネットワーク分離を採用すると、次の図に示すように、 SageMaker コンテナは VPC 内のリソースと通信したり、ネットワーク呼び出しを行ったりすることができません。VPC 設定を指定すると、ダウンロードとアップロードの操作は VPC を通じて実行されます。VPC 使用時のネットワーク分離によるホスティングとトレーニングの詳細については、「ネットワークの隔離」を参照してください。


                    SageMaker VPC 設定で VPC 内のリソースにアクセスして通信できます。

Amazon VPC SageMaker エンドポイントのポリシーを作成して、以下を指定できます。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、『Amazon VPC ユーザーガイド』の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

注記

VPC エンドポイントポリシーは、の連邦情報処理標準 (FIPS) SageMaker ランタイムエンドポイントではサポートされていません。runtime_InvokeEndpoint

次の VPC エンドポイントポリシー例では、VPC インターフェイスエンドポイントにアクセスできるすべてのユーザーが、 SageMaker という名前のホストエンドポイントを呼び出すことができるように指定しています。myEndpoint

{ "Statement": [ { "Action": "sagemaker:InvokeEndpoint", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint", "Principal": "*" } ] }

この例では、以下が拒否されます。

  • SageMaker その他の API アクション (やなど)。sagemaker:CreateEndpoint sagemaker:CreateTrainingJob

  • SageMaker 以外のホストされたエンドポイントを呼び出す。myEndpoint

注記

この例では、ユーザーは引き続き VPC の外部から他の SageMaker API アクションを実行できます。VPC 内からこれらの API コールを制限する方法については、「ID ベースのポリシーを使用して SageMaker API へのアクセスを制御します。」を参照してください。

Amazon SageMaker 機能ストア用の VPC エンドポイントを作成するには、以下のエンドポイントテンプレートを使用し、VPC_Endpoint_id.api とリージョンを置き換えます。

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

VPC を介して SageMaker API SageMaker とランタイムを呼び出すには、VPC 内のインスタンスから接続するか、() または AWS Virtual Private Network ()AWS VPNを使用してプライベートネットワークを VPC に接続する必要があります。 AWS Direct Connect詳細については AWS VPN、Amazon Virtual Private Cloud ユーザーガイドの「VPN 接続」を参照してください。詳細については AWS Direct Connect、『AWS Direct Connect ユーザーガイド』の「接続の作成」を参照してください。