に接続します。 SageMaker VPC インターフェイスエンドポイント経由 - アマゾン SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

に接続します。 SageMaker VPC インターフェイスエンドポイント経由

に直接Connectできます。 SageMaker API または SageMaker によるランタイムはインターフェイスエンドポイントインターネット経由で接続するのではなく、Virtual Private Cloud (VPC) で接続します。VPC インターフェイスエンドポイントを使用すると、VPC と間の通信が SageMaker APIまたはランタイムは、内部で完全かつ安全に実行されますAWSネットワーク。

- SageMaker API とランタイムのサポートAmazon Virtual Private Cloudでは、(Amazon VPC) インターフェイスエンドポイントは、このエンドポイントは、を使用しますAWS PrivateLink。各 VPC エンドポイントは、VPC サブネット内の 1 つ以上の Elastic Network Interface とプライベート IP アドレスで表されます。

VPC インターフェイスエンドポイントは、VPC を SageMaker インターネットゲートウェイ、NAT デバイス、VPN 接続なしの API またはランタイム、またはAWS Direct Connect接続。VPC のインスタンスは、パブリック IP アドレスがなくてもと通信できます SageMaker API またはランタイム。

接続するインターフェイスエンドポイントを作成できます SageMaker または SageMaker いずれかのランタイムAWSコンソールまたはAWS Command Line Interface(AWS CLI) コマンド。手順については、「インターフェイスエンドポイントの作成」を参照してください。

VPC エンドポイントを作成したらでは、以下の CLI コマンドを使用できます。endpoint-urlへのインターフェイスエンドポイントを指定するパラメータ SageMaker API またはランタイム:

aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker-runtime invoke-endpoint --endpoint-url VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \ --endpoint-name Endpoint_Name \ --body "Endpoint_Body" \ --content-type "Content_Type" \ Output_File

VPC エンドポイントのプライベート DNS ホスト名を有効にした場合は、エンドポイント URL を指定する必要はありません。- SageMaker CLI と CLI が使用する API DNS ホスト名 SageMaker SDK はデフォルトで使用されます (https://api.sagemaker.リージョン.amazon.com) は VPC エンドポイントに解決されます。同様に、 SageMaker CLI が使用するランタイム DNS ホスト名と SageMakerランタイム SDK がデフォルトで使用される (https://runtime.sagemaker.リージョン.amazonaws.com) は VPC エンドポイントに解決されます。

- SageMaker API とランタイムはすべての VPC エンドポイントをサポートしますAWS両方が存在する地域Amazon VPCそしてSageMakerは利用できます。 SageMaker そのすべてへの呼び出しをサポートしていますOperationsあなたの VPC の中に。CreatePresignedNotebookInstanceUrl の結果 AuthorizedUrl は、AWS PrivateLink でサポートされていません。ユーザーがノートブックインスタンスに接続するために使う承認された URL の AWS PrivateLink を有効にする方法については、「VPC インターフェイスエンドポイントを介してノートブックインスタンスに接続する」を参照してください。

AWS PrivateLink の詳細については、AWS PrivateLink ドキュメントを参照してください。を参照してくださいPrivateLink 料金VPC エンドポイントの料金です。VPC およびエンドポイントの詳細については、「Amazon VPC」を参照してください。ID ベースの使用方法についてはAWS Identity and Access Managementへのアクセスを制限するポリシー SageMaker API とランタイム、を参照してくださいへのアクセスの制御 SageMaker アイデンティティベースのポリシーを使用した API

以下の Amazon VPC エンドポイントに対するポリシーを作成できます。 SageMaker には、以下を指定します。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、『Amazon VPC ユーザーガイド』の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

注記

VPC エンドポイントポリシーは連邦情報処理規格 (Federal Information Processing Standards/FIP SageMaker の実行時エンドポイントruntime_InvokeEndpoint

次の例の VPC エンドポイントポリシーでは、VPC インターフェイスエンドポイントにアクセスできるすべてのユーザーが SageMaker ホストされたエンドポイントmyEndpoint

{ "Statement": [ { "Action": "sagemaker:InvokeEndpoint", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint", "Principal": "*" } ] }

この例では、以下が拒否されます。

  • その他 SageMaker API アクション (など)sagemaker:CreateEndpointそしてsagemaker:CreateTrainingJob

  • invoke SageMaker 以外の、でホストされたエンドポイントmyEndpoint

注記

この例では、ユーザーはその他をまだ取ることができます SageMaker VPC の外部からの API アクション。VPC 内からこれらの API コールを制限する方法については、「へのアクセスの制御 SageMaker アイデンティティベースのポリシーを使用した API」を参照してください。

Amazon 用の VPC エンドポイントを作成するには SageMaker Feature Store、次のエンドポイントテンプレートを使用して、vpc_Endpoint_ID.APIそしてリージョン:

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

に電話するには SageMaker VPC 経由の API およびランタイムでは、VPC 内にあるインスタンスから接続するか、を使用してプライベートネットワークを VPC に接続する必要がありますAWS Virtual Private Network(AWS VPN) またはAWS Direct Connect。AWS VPN の詳細については、Amazon Virtual Private Cloud ユーザーガイドの「VPN 接続」を参照してください。AWS Direct Connect の詳細については、AWS Direct Connect ユーザーガイドの「接続を作成する」を参照してください。