VPC インターフェイスエンドポイント経由で SageMaker Connect - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC インターフェイスエンドポイント経由で SageMaker Connect

SageMaker API または SageMaker ランタイムに直接接続するには、インターフェイスエンドポイントインターネット経由で接続するのではなく、Virtual Private Cloud (VPC) で。VPC インターフェイスエンドポイントを使用すると、VPC と SageMaker API またはランタイム間の通信は、AWSnetwork。

SageMaker API とランタイムのサポートAmazon Virtual Private Cloud(Amazon VPC) インターフェイスエンドポイント。このエンドポイントは、AWSPrivateLink。各 VPC エンドポイントは、1 つ以上のElastic Network InterfaceVPC サブネット内のプライベート IP アドレスに置き換えてください。

VPC インターフェイスエンドポイントは VPC を SageMaker API またはランタイムに直接接続します。その際、インターネットゲートウェイ、NAT デバイス、VPN 接続、またはAWS Direct Connect接続。VPC のインスタンスは、パブリック IP アドレスがなくても SageMaker API またはランタイムと通信できます。

インターフェイスエンドポイントを作成して、SageMaker または SageMaker ランタイムに接続できます。AWSコンソールまたはAWS Command Line Interface(AWS CLI) のコマンドです。手順については、「インターフェイスエンドポイントの作成」を参照してください。

VPC エンドポイントを作成した後を使用して、次の CLI コマンドの例を使用できます。endpoint-urlパラメーターを使用して、SageMaker API またはランタイムへのインターフェースエンドポイントを指定します。

aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker-runtime invoke-endpoint --endpoint-url VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \ --endpoint-name Endpoint_Name \ --body "Endpoint_Body" \ --content-type "Content_Type" \ Output_File

VPC エンドポイントのプライベート DNS ホスト名を有効にした場合は、エンドポイント URL を指定する必要はありません。SageMaker API の DNS ホスト名 (CLI および SageMaker SDK がデフォルトで使用します) (https://api.sagemaker.リージョン.amazon.com) は、VPC エンドポイントに解決されます。同様に、CLI および SageMaker ランタイム SDK がデフォルトで使用する SageMaker ランタイム DNS ホスト名 (https://runtime.sagemaker.リージョン.amazonaws.com) は、VPC エンドポイントに解決されます。

SageMaker API とランタイムVPC、すべてのAWS両方のリージョンAmazon VPCおよびSageMakerが利用可能。SageMaker SageMaker は、その Operationsを VPC 内に格納します。結果AuthorizedUrlからのCreatePresignedNotebookInstanceUrlは によってサポートされていません AWS PrivateLink 。を有効にする方法については、「」を参照してください。 AWS PrivateLink ユーザーがノートブックインスタンスに接続するために使用する承認された URL については、VPC インターフェイスエンドポイントを介してノートブックインスタンスに接続する

AWS PrivateLink の詳細については、 AWS PrivateLink ドキュメントを参照してください。を参照してください。VPC の料金VPC エンドポイントの料金です。VPC およびエンドポイントの詳細については、「Amazon VPC」を参照してください。ID ベースの使用方法については、「」を参照してください。AWS Identity and Access Managementポリシーを使用して SageMaker API とランタイムへのアクセスを制限する方法については、アイデンティティベースのポリシーを使用して SageMaker API へのアクセスを制御する

SageMaker の Amazon VPC エンドポイントに対するポリシーを作成して、以下を指定することができます。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、Amazon VPC ユーザーガイドの「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

注記

VPC エンドポイントポリシーは、連邦情報処理規格 (Federal Information Processing Standards/FIPS) SageMaker runtime_InvokeEndpoint

次の例の VPC エンドポイントポリシーでは、VPC インターフェイスエンドポイントにアクセスできるすべてのユーザーが、SageMaker でホストされた、myEndpoint

{ "Statement": [ { "Action": "sagemaker:InvokeEndpoint", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint", "Principal": "*" } ] }

この例では、以下が拒否されます。

  • 他の SageMaker API アクション (sagemaker:CreateEndpointおよびsagemaker:CreateTrainingJob

  • SageMaker の以外の SageMaker エンドポイントの呼び出しmyEndpoint

注記

この例では、ユーザーは VPC の外部からその他の SageMaker API アクションをまだ実行できます。VPC 内からこれらの API コールを制限する方法については、「アイデンティティベースのポリシーを使用して SageMaker API へのアクセスを制御する」を参照してください。

Amazon SageMaker 機能ストア用の VPC エンドポイントを作成するには、次のエンドポイントテンプレートを使用し、vpc_endpoint_id.apiおよびリージョン:

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

VPC 経由で SageMaker API およびランタイムを呼び出すには、VPC 内にあるインスタンスから接続するか、AWS Virtual Private Network(AWS VPN) またはAWS Direct Connect。の詳細については、「」を参照してくださいAWS VPN「」を参照してください。VPN 接続Amazon Virtual Private Cloud ユーザーガイド。の詳細については、「」を参照してくださいAWS Direct Connect「」を参照してください。接続の作成AWSDirect Connect ユーザーガイド