翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Connect 先 SageMaker お客様の VPC 内
に直接接続できます SageMaker API またはアマゾンに SageMaker によるランタイムインターフェイスエンド名インターネット経由で接続する代わりに、仮想プライベートクラウド(VPC)で使用できます。VPC インターフェイスエンドポイントを使用する場合、VPC と VPC 間の通信 SageMakerAPI またはランタイムは内部で完全かつ安全に行われます。AWSネットワーク。
Connect 先 SageMaker VPC インターフェイスエンドポイント経由
は SageMaker API と SageMaker ランタイムサポートAmazon Virtual Private Cloud(Amazon VPC) によって提供されるインターフェイスエンドポイントAWS PrivateLink

VPC インターフェースエンドポイントは、VPC に直接接続します。 SageMaker API または SageMaker ランタイム使用AWS PrivateLinkインターネットゲートウェイ、NAT デバイス、VPN 接続を使用せず、AWS Direct Connect接続。VPC 内のインスタンスは、通信する場合、パブリックインターネットに接続する必要はありません。 SageMaker API または SageMaker ランタイム。
次のものを作成できますAWS PrivateLink接続するインターフェースエンドポイント SageMaker または SageMaker以下のいずれかを使用したランタイムAWS Management ConsoleまたはAWS Command Line Interface(AWS CLI)。手順については、「インターフェイスエンドポイントの作成」を参照してください。
VPC エンドポイントのプライベートドメインネームシステム (DNS) ホスト名を有効にしていない場合は、VPC エンドポイントを作成した後に、インターネットエンドポイント URL を指定します。 SageMaker API または SageMaker ランタイム。を使用したコード名AWS CLIを指定するコマンドendpoint-url
パラメータは以下のとおりです。
aws sagemaker list-notebook-instances --endpoint-url
VPC_Endpoint_ID
.api.sagemaker.Region
.vpce.amazonaws.com aws sagemaker list-training-jobs --endpoint-urlVPC_Endpoint_ID.api
.sagemaker.Region
.vpce.amazonaws.com aws sagemaker-runtime invoke-endpoint --endpoint-urlVPC_Endpoint_ID
.runtime.sagemaker.Region
.vpce.amazonaws.com \ --endpoint-nameEndpoint_Name
\ --body "Endpoint_Body
" \ --content-type "Content_Type
" \Output_File
VPC エンドポイントでプライベート DNS ホスト名を有効にする場合はデフォルトのホスト名 (https://api.sagemaker) なので、エンドポイント URL を指定する必要はありません。リージョン
.amazon.com) によって、お客様の VPC エンドポイントに送信されます。同様に、デフォルトです。 SageMaker ランタイム DNS ホスト名 (https://runtime.sagemaker。リージョン
.amazonaws.com) は、お客様の VPC エンドポイントにも関連付けられます。
ザ・ SageMaker API と SageMaker ランタイムはすべての VPC エンドポイントをサポートAWS リージョンただし、両方ともAmazon VPC についてそしてSageMaker利用可能です SageMaker そのすべてへの呼び出しをサポートしますOperations
VPC の内部にあります。その結果です。AuthorizedUrl
から
CreatePresignedNotebookInstanceUrlコマンドは以下ではサポートされていませんAWS PrivateLink。ユーザーがノートブックインスタンスに接続するために使う承認された URL の AWS PrivateLink を有効にする方法については、「VPC インターフェイスエンドポイントを介してノートブックインスタンスに接続する」を参照してください。
注記
の VPC インターフェイスエンドポイントを設定する場合 SageMaker ランタイムサービス (https://runtime.sagemaker。
.amazonaws.com) の場合、プライベート DNS 解決が機能するためには、クライアントのアベイラビリティーゾーンで VPC インターフェイスエンドポイントがアクティブ化されていることを確認する必要があります。そうしないと、URL を解決しようとしたときに DNS 障害が発生する可能性があります。Region
AWS PrivateLink の詳細については、AWS PrivateLink ドキュメントを参照してください。を参照してください。AWS PrivateLink価格設定
使用する SageMaker VPC 内のリソースを使ったトレーニングとホスティング
SageMaker 実行ロールを使用して、トレーニングコンテナや推論コンテナとは切り離して、Amazon S3 バケットと Amazon Elastic Container レジストリ (Amazon ECR) から情報をダウンロードおよびアップロードします。VPC 内にリソースがある場合でも、付与できます SageMaker それらのリソースへのアクセス 以下のセクションでは、リソースを利用可能にする方法について説明します。 SageMaker ネットワーク分離の有無にかかわらず。
ネットワーク分離が有効になっていない場合
トレーニングジョブまたはモデルにネットワーク分離を設定していない場合は、 SageMaker は、以下のいずれかの方法を使うことを選択した場合、リソースにアクセスできます。
-
SageMaker トレーニングコンテナーとデプロイされた推論コンテナーは、デフォルトでインターネットにアクセスできます。 SageMaker コンテナは、トレーニングや推論のワークロードの一部として、パブリックインターネット上の外部サービスやリソースにアクセスできます。 SageMaker 次の図に示すように、コンテナは VPC 設定なしでは VPC 内のリソースにアクセスできません。
-
VPC 設定を使用して、elastic network interface (ENI) を介して VPC 内のリソースと通信します。コンテナと VPC 内のリソース間の通信は、次の図に示すように VPC ネットワーク内で安全に行われます。この場合、VPC リソースとインターネットへのネットワークアクセスを管理します。
ネットワーク分離機能付き
ネットワーク分離を採用すると、 SageMaker 次の図に示すように、コンテナは、VPC 内のリソースと通信したり、ネットワーク呼び出しを行ったりすることはできません。VPC 設定を指定すると、ダウンロードとアップロードの操作は VPC を通じて実行されます。VPC 使用時のネットワーク分離によるホスティングとトレーニングの詳細については、以下を参照してください。ネットワークの隔離。

の VPC エンドポイントポリシーを作成する SageMaker
Amazon VPC エンドポイントのポリシーは、 SageMaker 以下を指定します。
-
アクションを実行できるプリンシパル。
-
実行可能なアクション。
-
このアクションを実行できるリソース。
詳細については、『Amazon VPC ユーザーガイド』の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。
注記
VPC エンドポイントポリシーは、連邦情報処理標準 (FIPS) に対して連邦情報処理標準 (FIPS) に対して連邦情報処理標準 (FIP SageMaker のランタイムエンドポイントruntime_InvokeEndpoint。
次の VPC エンドポイントポリシーは、VPC インターフェイスエンドポイントにアクセスできるすべてのユーザーに、の呼び出しを許可される点を除いて、 SageMaker という名前のホストエンドポイントmyEndpoint
。
{ "Statement": [ { "Action": "sagemaker:InvokeEndpoint", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint", "Principal": "*" } ] }
この例では、以下が拒否されます。
-
その他 SageMaker API アクション (例:
sagemaker:CreateEndpoint
そしてsagemaker:CreateTrainingJob
。 -
呼び出す SageMaker 以外のホストエンドポイント
myEndpoint
。
注記
この例によって、ユーザは、他のものを取ることができます。 SageMaker VPC アクセス用に API アクションを設定します。VPC 内からこれらの API コールを制限する方法については、「へのアクセスの制御 SageMaker ID ベースのポリシーを使用して、以下のようにしています。」を参照してください。
Amazon の VPC エンドポイントポリシーの作成 SageMaker フィーチャーストア
Amazon 用の VPC エンドポイントを作成するには、以下のようにしています。 SageMaker Feature Store は、以下のエンドポイントテンプレートを以下のエンドポイントテンプレートに置き換えて使用します。VPC_Endpoint_ID.API
そして地域
:
VPC_Endpoint_ID.api
.featurestore-runtime.sagemaker.Region
.vpce.amazonaws.com
プライベートネットワークを VPC に接続する
を呼び出すには SageMaker API と SageMaker VPC から実行する場合は、VPC 内にあるインスタンスから接続するか、またはからプライベートネットワークを VPC に接続する必要があります。AWS Virtual Private Network(AWS VPN) またはAWS Direct Connect。AWS VPN の詳細については、Amazon Virtual Private Cloud ユーザーガイドの「VPN 接続」を参照してください。AWS Direct Connect の詳細については、AWS Direct Connect ユーザーガイドの「接続を作成する」を参照してください。