VPC インターフェイスエンドポイント経由で SageMaker Connect - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC インターフェイスエンドポイント経由で SageMaker Connect

SageMaker API または SageMaker ランタイムに直接接続するには、インターフェイスエンドポイントインターネット経由で接続するのではなく、Virtual Private Cloud (VPC) にインストールします。VPC インターフェイスエンドポイントを使用すると、VPC と SageMaker API またはランタイム間の通信は、AWSnetwork。

SageMaker API とランタイムのサポートAmazon Virtual Private Cloud(Amazon VPC) インターフェイスエンドポイントは、AWSPrivateLink。各 VPC エンドポイントは、1 つ以上のElastic Network Interfaceは、VPC サブネットのプライベート IP アドレスに置き換えます。

VPC インターフェイスエンドポイントは VPC を SageMaker API またはランタイムに直接接続します。その際、インターネットゲートウェイ、NAT デバイス、VPN 接続、AWS Direct Connect接続。VPC のインスタンスは、パブリック IP アドレスがなくても SageMaker API またはランタイムと通信できます。

インターフェイスエンドポイントを作成して SageMaker または SageMaker ランタイムと接続できます。AWSコンソールまたはAWS Command Line Interface(AWS CLI) のコマンドです。手順については、「インターフェイスエンドポイントの作成」を参照してください。

VPC エンドポイントを作成した後を使用して、次の CLI コマンドの例を使用できます。endpoint-urlパラメーターを使用して、SageMaker API またはランタイムへのインターフェースエンドポイントを指定します。

aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker-runtime invoke-endpoint --endpoint-url VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \ --endpoint-name Endpoint_Name \ --body "Endpoint_Body" \ --content-type "Content_Type" \ Output_File

VPC エンドポイントのプライベート DNS ホスト名を有効にした場合は、エンドポイント URL を指定する必要はありません。CLI および SageMaker SDK がデフォルトで使用するSageMaker API DNS ホスト名 (https://api.sagemaker.リージョン.amazon.com) は、ご自分の VPC エンドポイントに解決されます。同様に、CLI および SageMaker ランタイム SDK がデフォルトで使用する SageMaker ランタイム DNS ホスト名 (https://runtime.sagemaker.リージョン.amazonaws.com) は、VPC エンドポイントに解決されます。

SageMaker API とランタイムVPC、すべてのAWS両方のリージョンAmazon VPCおよびSageMakerが利用可能。SageMaker は、すべてのOperationsを VPC 内に格納します。結果AuthorizedUrlからのCreatePresignedNotebookInstanceUrlは によってサポートされていませんAWS PrivateLink。有効にする方法については、「」を参照してください。AWS PrivateLinkユーザーがノートブックインスタンスに接続するために使用する承認された URL については、「」を参照してください。VPC インターフェイスエンドポイントを介してノートブックインスタンスに接続する

AWS PrivateLink の詳細については、AWS PrivateLink ドキュメントを参照してください。を参照してください。VPC の料金VPC エンドポイントの料金です。VPC およびエンドポイントの詳細については、「Amazon VPC」を参照してください。ID ベースの使用方法については、AWS Identity and Access Managementポリシーを使用して SageMaker API とランタイムへのアクセスを制限するには、アイデンティティベースのポリシーを使用して SageMaker API へのアクセスを制御する

SageMaker の Amazon VPC エンドポイントに対するポリシーを作成して、以下を指定することができます。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、Amazon VPC ユーザーガイドの「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

注記

VPC エンドポイントポリシーは、runtime_InvokeEndpoint

次の例の VPC エンドポイントポリシーでは、VPC インターフェイスエンドポイントにアクセスできるすべてのユーザーが、SageMaker でホストされた、myEndpoint

{ "Statement": [ { "Action": "sagemaker:InvokeEndpoint", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint", "Principal": "*" } ] }

この例では、以下が拒否されます。

  • 他の SageMaker API アクション (sagemaker:CreateEndpointおよびsagemaker:CreateTrainingJob

  • 以外の SageMaker でホストされたエンドポイントの呼び出しmyEndpoint

注記

この例では、ユーザーは VPC の外部からその他の SageMaker API アクションをまだ実行できます。VPC 内からこれらの API コールを制限する方法については、「アイデンティティベースのポリシーを使用して SageMaker API へのアクセスを制御する」を参照してください。

Amazon SageMaker 機能ストア用の VPC エンドポイントを作成するには、次のエンドポイントテンプレートを使用し、vpc_endpoint_id.apiおよびリージョン:

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

VPC 経由で SageMaker API およびランタイムを呼び出すには、VPC 内にあるインスタンスから接続するか、AWS Virtual Private Network(AWS VPN) またはAWS Direct Connect。に関する情報AWS VPN「」を参照してください。VPN 接続Amazon Virtual Private Cloud ユーザーガイド。に関する情報AWS Direct Connect「」を参照してください。接続の作成AWSDirect Connect ユーザーガイド