VPC SageMaker インターフェイスエンドポイント経由でのConnect - アマゾン SageMaker
SageMaker の VPC エンドポイントポリシーを作成するAmazon SageMaker Feature Store の VPC エンドポイントポリシーの作成プライベートネットワークを VPC に接続する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC SageMaker インターフェイスエンドポイント経由でのConnect

インターネット経由で接続するのではなく、Virtual Private Cloud (VPC) のインターフェイスエンドポイントを通じて、 SageMaker API SageMaker またはランタイムに直接接続できます。VPC インターフェイスエンドポイントを使用すると、AWSネットワーク内で VPC と SageMaker API またはランタイム間の通信が完全かつ安全に実施されます。

SageMaker API とランタイムは、を使用する Amazon Virtual Private Cloud (Amazon VPC) インターフェイスエンドポイントをサポートしますAWS PrivateLink。各 VPC エンドポイントは、VPC サブネット内の 1 つ以上の Elastic Network Interface とプライベート IP アドレスで表されます。

VPC インターフェイスエンドポイントは VPC を SageMaker API またはランタイムに直接接続します。その際、インターネットゲートウェイ、NAT デバイス、VPN 接続、AWS Direct Connectまたは接続を使用しません。VPC のインスタンスは、パブリック IP アドレスがなくても SageMaker API やランタイムと通信できます。

AWSコンソールまたはAWS Command Line Interface (AWS CLI) コマンドのいずれかを使用して、 SageMaker Runtime SageMaker に接続またはランタイムに接続するインターフェイスエンドポイントを作成できます。手順については、「インターフェイスエンドポイントの作成」を参照してください。

VPC エンドポイントを作成するとendpoint-urlパラメータを使用して、 SageMaker API またはランタイムへのインターフェイスエンドポイントを指定する次のサンプル CLI コマンドを使用できます。

aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker-runtime invoke-endpoint --endpoint-url VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com  \
    --endpoint-name Endpoint_Name \
    --body "Endpoint_Body" \
    --content-type "Content_Type" \
            Output_File

VPC エンドポイントのプライベート DNS ホスト名を有効にした場合は、エンドポイント URL を指定する必要はありません。CLI および SageMaker SDK がデフォルトで使う SageMaker API DNS ホスト名 (https://api.sagemaker)。 リージョン (.amazon.com) は、ご自身の VPC エンドポイントに解決されます。同様に、CLI SageMaker とランタイム SDK SageMaker がデフォルトで使用するランタイム DNS ホスト名 (https://runtime.sagemaker)。 Region .amazonaws.com) は、お客様の VPC エンドポイントに解決されます。

SageMaker API とランタイムは、Amazon VPCAWSSageMakerとの両方が利用可能なすべてのリージョンの VPC エンドポイントをサポートします。 SageMaker は、VPC Operations内にあるすべての呼び出しをサポートします。CreatePresignedNotebookInstanceUrl の結果 AuthorizedUrl は、AWS PrivateLink でサポートされていません。ユーザーがノートブックインスタンスに接続するために使う承認された URL の AWS PrivateLink を有効にする方法については、「VPC インターフェイスエンドポイントを介してノートブックインスタンスに接続する」を参照してください。

AWS PrivateLink の詳細については、AWS PrivateLink ドキュメントを参照してください。VPC PrivateLink エンドポイントの料金については、「料金」を参照してください。VPC およびエンドポイントの詳細については、「Amazon VPC」を参照してください。ID ベースのAWS Identity and Access Managementポリシーを使用して SageMaker API およびランタイムへのアクセスを制限する方法については、「」を参照してくださいアイデンティティベースのポリシーを使って SageMaker API へのアクセスを制御する

以下を指定するための Amazon VPC SageMaker エンドポイントに対するポリシーを作成できます。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、『Amazon VPC ユーザーガイド』の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

注記

VPC エンドポイントポリシーは、の連邦情報処理規格 (Federal Information Processing Standards/FIPS) SageMaker ランタイムエンドポイントではサポートされませんruntime_InvokeEndpoint

次の例の VPC エンドポイントポリシーでは、VPC インターフェイスエンドポイントにアクセスできるすべてのユーザーが、でホストされた、 SageMaker でホストされた、でエンドポイントを呼び出すことが許可されますmyEndpoint

{
  "Statement": [
      {
          "Action": "sagemaker:InvokeEndpoint",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
          "Principal": "*"
      }
  ]
}

この例では、以下が拒否されます。

  • SageMaker その他の API アクション (sagemaker:CreateEndpointやなど)sagemaker:CreateTrainingJob

  • 以外の、 SageMaker でホストされたエンドポイントの呼び出しmyEndpoint

注記

この例では、ユーザーは VPC SageMaker の外部からその他の API アクションをまだ実行できます。VPC 内からこれらの API コールを制限する方法については、「アイデンティティベースのポリシーを使って SageMaker API へのアクセスを制御する」を参照してください。

Amazon SageMaker Feature Store の VPC エンドポイントを作成するには、次のエンドポイントテンプレートを使用し、VPC_Endpoint_ID.apiRegion を置き換えます。

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

VPC 経由で SageMaker API とランタイムを呼び出すには、VPC 内にあるインスタンスから接続するか、プライベートネットワークを VPC に接続する必要がありますAWS Direct Connect。AWS Virtual Private NetworkAWS VPNAWS VPN の詳細については、Amazon Virtual Private Cloud ユーザーガイドの「VPN 接続」を参照してください。AWS Direct Connect の詳細については、AWS Direct Connect ユーザーガイドの「接続を作成する」を参照してください。