翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
VPC SageMaker インターフェイスエンドポイント経由でのConnect
インターネット経由で接続するのではなく、Virtual Private Cloud (VPC) のインターフェイスエンドポイントを通じて、 SageMaker API SageMaker またはランタイムに直接接続できます。VPC インターフェイスエンドポイントを使用すると、AWSネットワーク内で VPC と SageMaker API またはランタイム間の通信が完全かつ安全に実施されます。
SageMaker API とランタイムは、を使用する Amazon Virtual Private Cloud (Amazon VPC) インターフェイスエンドポイントをサポートしますAWS PrivateLink。各 VPC エンドポイントは、VPC サブネット内の 1 つ以上の Elastic Network Interface とプライベート IP アドレスで表されます。
VPC インターフェイスエンドポイントは VPC を SageMaker API またはランタイムに直接接続します。その際、インターネットゲートウェイ、NAT デバイス、VPN 接続、AWS Direct Connectまたは接続を使用しません。VPC のインスタンスは、パブリック IP アドレスがなくても SageMaker API やランタイムと通信できます。
AWSコンソールまたはAWS Command Line Interface (AWS CLI) コマンドのいずれかを使用して、 SageMaker Runtime SageMaker に接続またはランタイムに接続するインターフェイスエンドポイントを作成できます。手順については、「インターフェイスエンドポイントの作成」を参照してください。
VPC エンドポイントを作成すると、endpoint-url
パラメータを使用して、 SageMaker API またはランタイムへのインターフェイスエンドポイントを指定する次のサンプル CLI コマンドを使用できます。
aws sagemaker list-notebook-instances --endpoint-url
VPC_Endpoint_ID
.api.sagemaker.Region
.vpce.amazonaws.com aws sagemaker list-training-jobs --endpoint-urlVPC_Endpoint_ID.api
.sagemaker.Region
.vpce.amazonaws.com aws sagemaker-runtime invoke-endpoint --endpoint-urlVPC_Endpoint_ID
.runtime.sagemaker.Region
.vpce.amazonaws.com \ --endpoint-nameEndpoint_Name
\ --body "Endpoint_Body
" \ --content-type "Content_Type
" \Output_File
VPC エンドポイントのプライベート DNS ホスト名を有効にした場合は、エンドポイント URL を指定する必要はありません。CLI および SageMaker SDK がデフォルトで使う SageMaker API DNS ホスト名 (https://api.sagemaker)。 リージョン
(.amazon.com) は、ご自身の VPC エンドポイントに解決されます。同様に、CLI SageMaker とランタイム SDK SageMaker がデフォルトで使用するランタイム DNS ホスト名 (https://runtime.sagemaker)。 Region
.amazonaws.com) は、お客様の VPC エンドポイントに解決されます。
SageMaker API とランタイムは、Amazon VPCAWSSageMakerとの両方が利用可能なすべてのリージョンの VPC エンドポイントをサポートします。 SageMaker は、VPC Operations
内にあるすべての呼び出しをサポートします。
CreatePresignedNotebookInstanceUrl
の結果 AuthorizedUrl
は、AWS PrivateLink でサポートされていません。ユーザーがノートブックインスタンスに接続するために使う承認された URL の AWS PrivateLink を有効にする方法については、「VPC インターフェイスエンドポイントを介してノートブックインスタンスに接続する」を参照してください。
AWS PrivateLink の詳細については、AWS PrivateLink ドキュメントを参照してください。VPC PrivateLink エンドポイントの料金については
SageMaker の VPC エンドポイントポリシーを作成する
以下を指定するための Amazon VPC SageMaker エンドポイントに対するポリシーを作成できます。
-
アクションを実行できるプリンシパル。
-
実行可能なアクション。
-
このアクションを実行できるリソース。
詳細については、『Amazon VPC ユーザーガイド』の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。
VPC エンドポイントポリシーは、の連邦情報処理規格 (Federal Information Processing Standards/FIPS) SageMaker ランタイムエンドポイントではサポートされませんruntime_InvokeEndpoint
。
次の例の VPC エンドポイントポリシーでは、VPC インターフェイスエンドポイントにアクセスできるすべてのユーザーが、でホストされた、 SageMaker でホストされた、でエンドポイントを呼び出すことが許可されますmyEndpoint
。
{ "Statement": [ { "Action": "sagemaker:InvokeEndpoint", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint", "Principal": "*" } ] }
この例では、以下が拒否されます。
-
SageMaker その他の API アクション (
sagemaker:CreateEndpoint
やなど)sagemaker:CreateTrainingJob
。 -
以外の、 SageMaker でホストされたエンドポイントの呼び出し
myEndpoint
。
この例では、ユーザーは VPC SageMaker の外部からその他の API アクションをまだ実行できます。VPC 内からこれらの API コールを制限する方法については、「アイデンティティベースのポリシーを使って SageMaker API へのアクセスを制御する」を参照してください。
Amazon SageMaker Feature Store の VPC エンドポイントポリシーの作成
Amazon SageMaker Feature Store の VPC エンドポイントを作成するには、次のエンドポイントテンプレートを使用し、VPC_Endpoint_ID.api
と Region
を置き換えます。
VPC_Endpoint_ID.api
.featurestore-runtime.sagemaker.Region
.vpce.amazonaws.com
プライベートネットワークを VPC に接続する
VPC 経由で SageMaker API とランタイムを呼び出すには、VPC 内にあるインスタンスから接続するか、プライベートネットワークを VPC に接続する必要がありますAWS Direct Connect。AWS Virtual Private NetworkAWS VPNAWS VPN の詳細については、Amazon Virtual Private Cloud ユーザーガイドの「VPN 接続」を参照してください。AWS Direct Connect の詳細については、AWS Direct Connect ユーザーガイドの「接続を作成する」を参照してください。