SageMaker 内に接続する VPC - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SageMaker 内に接続する VPC

インターネット経由で接続するのではなく、仮想プライベートクラウド (VPC) のインターフェイスエンドポイントを介して または Amazon SageMaker Runtime に直接 SageMaker API接続できます。VPC インターフェイスエンドポイントを使用する場合、 VPCと APIまたは ランタイム間の通信は、 SageMaker 内で完全かつ安全に実施されます。 AWS ネットワーク。

VPC インターフェイスエンドポイント SageMaker 経由で に接続する

および SageMaker ランタイムは、 SageMaker APIを搭載した Amazon Virtual Private Cloud (Amazon VPC) インターフェイスエンドポイントをサポートします。 AWS PrivateLink。 各VPCエンドポイントは、VPCサブネット内のプライベート IP アドレスを持つ 1 つ以上の Elastic Network Interface によって表されます。例えば、 内のアプリケーションは VPCを使用します。 AWS PrivateLink SageMaker ランタイムと通信する 。 SageMaker ランタイムはエンドポイントと通信します SageMaker 。使用 AWS PrivateLink では、次の図に示すようにVPC、 内から SageMaker エンドポイントを呼び出すことができます。

は VPCを使用します。 AWS PrivateLink SageMaker エンドポイントと通信する 。

VPC インターフェイスエンドポイントは、 を使用して を SageMaker APIまたは SageMaker ランタイムVPCに直接接続します。 AWS PrivateLink インターネットゲートウェイ、NATデバイス、VPN接続、または を使用しない AWS Direct Connect 接続。のインスタンスは、 または SageMaker Runtime と SageMaker API通信するためにパブリックインターネットに接続VPCする必要はありません。

を作成できます。 AWS PrivateLink インターフェイスエンドポイントは、 のいずれかを使用して SageMaker または SageMaker ランタイムに接続します。 AWS Management Console または AWS Command Line Interface (AWS CLI)。 手順については、「 へのアクセス」を参照してください。 AWS インターフェイスVPCエンドポイント を使用する サービス

VPC エンドポイントのプライベートドメインネームシステム (DNS) ホスト名を有効にしていない場合は、VPCエンドポイント を作成した後、インターネットエンドポイントを または SageMaker ランタイムURLに SageMaker API指定します。を使用したコード例 AWS CLI endpoint-url パラメータを指定する コマンドは次のとおりです。

aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \ --endpoint-name Endpoint_Name \ --body "Endpoint_Body" \ --content-type "Content_Type" \ Output_File

VPC エンドポイントのプライベートDNSホスト名を有効にする場合、URLデフォルトのホスト名 (https://api.sagemaker.Region.amazon.com) はVPCエンドポイントに解決されます。同様に、デフォルトの SageMaker ランタイムDNSホスト名 (https://runtime.sagemaker.Region.amazonaws.com) もVPCエンドポイントに解決されます。

および SageMaker ランタイムは SageMaker API、すべての でVPCエンドポイントをサポートします。 AWS リージョン ここで、Amazon VPC と の両方SageMakerが利用可能です。 は、 Operations内のすべての への呼び出し SageMaker をサポートしますVPC。AuthorizedUrl から を使用する場合 
 CreatePresignedNotebookInstanceUrl コマンド、トラフィックはパブリックインターネットを経由します。VPC エンドポイントを使用して署名付き にアクセスすることはできません。リクエストURLはインターネットゲートウェイを経由する必要があります。

デフォルトでは、ユーザーは署名付き を企業ネットワーク外のURLユーザーと共有できます。セキュリティを強化するには、ネットワーク内で使用できる URLのみを制限するIAMアクセス許可を追加する必要があります。アクセスIAM許可の詳細については、「方法」を参照してください。 AWS PrivateLink は で動作しますIAM

注記

ランタイムサービス (https://runtime.sagemaker.Region.amazonaws.com) SageMaker のVPCインターフェイスエンドポイントを設定するときは、プライベートDNS解決が機能するように、VPCインターフェイスエンドポイントがクライアントのアベイラビリティーゾーンでアクティブ化されていることを確認する必要があります。そうしないと、 を解決しようとするとDNS失敗することがありますURL。

詳細を確認するトピック AWS PrivateLink、「」を参照してください。 AWS PrivateLink ドキュメント 。「」を参照してください 。AWS PrivateLink VPC エンドポイントの料金。VPC および エンドポイントの詳細については、「Amazon VPC」を参照してください。ID ベースの の使用方法については、「」を参照してください。 AWS Identity and Access Management および SageMaker ランタイムへのアクセスを制限する ポリシーについては、 SageMaker API「」を参照してくださいID ベースのポリシーを使用して SageMaker APIへのアクセスを制御する

内のリソースでの SageMaker トレーニングとホスティングの使用 VPC

SageMaker は実行ロールを使用して、トレーニングコンテナまたは推論コンテナとは別に、Amazon S3 バケットと Amazon Elastic Container Registry (Amazon ECR) から情報をダウンロードしてアップロードします。内にリソースがある場合でもVPC、それらのリソース SageMaker へのアクセスを許可できます。以下のセクションでは、ネットワーク分離 SageMaker の有無にかかわらず、 リソースを で使用できるようにする方法を説明します。

ネットワーク分離が有効になっていない場合

トレーニングジョブまたはモデルにネットワーク分離を設定していない場合は、次のいずれかの方法を使用して リソース SageMaker にアクセスできます。

  • SageMaker トレーニングおよびデプロイされた推論コンテナは、デフォルトでインターネットにアクセスできます。 SageMaker コンテナは、トレーニングおよび推論ワークロードの一部として、パブリックインターネット上の外部サービスおよびリソースにアクセスできます。 SageMaker 次の図に示すように、 コンテナはVPC設定VPCなしで 内のリソースにアクセスできません。

    SageMaker は、VPC設定VPCなしで 内のリソースにアクセスできません。
  • VPC 設定を使用して、Elastic Network Interface () VPCを介して 内のリソースと通信しますENI。次の図に示すように、コンテナと 内のリソース間の通信VPCは、VPCネットワーク内で安全に行われます。この場合、VPCリソースとインターネットへのネットワークアクセスを管理します。

    SageMaker は、 VPC 設定VPCを使用して 内のリソースにアクセスして通信できます。

ネットワーク分離の使用

ネットワーク分離を使用する場合、次の図に示すように、 SageMaker コンテナは 内のリソースと通信VPCしたり、ネットワーク呼び出しを行ったりすることはできません。VPC 設定を指定すると、ダウンロードおよびアップロードオペレーションは を通じて実行されますVPC。の使用中のネットワーク分離によるホスティングとトレーニングの詳細については、VPC「」を参照してくださいネットワークの隔離

SageMaker は、 VPC 設定VPCを使用して 内のリソースにアクセスして通信できます。

の Amazon VPCエンドポイントのポリシーを作成して SageMaker 、以下を指定できます。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、「Amazon VPCユーザーガイド」のVPC「エンドポイントを使用したサービスへのアクセスの制御」を参照してください。

注記

VPC エンドポイントポリシーは、 の連邦情報処理標準 (FIPS) SageMaker ランタイムエンドポイントではサポートされていません runtime_InvokeEndpoint.

次のVPCエンドポイントポリシーの例では、VPCインターフェイスエンドポイントにアクセスできるすべてのユーザーが、 という名前の SageMaker ホストされたエンドポイントを呼び出すことができることを指定しますmyEndpoint

{ "Statement": [ { "Action": "sagemaker:InvokeEndpoint", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint", "Principal": "*" } ] }

この例では、以下が拒否されます。

  • sagemaker:CreateEndpoint や などのその他の SageMaker APIアクションsagemaker:CreateTrainingJob

  • 以外の SageMaker ホストエンドポイントの呼び出しmyEndpoint

注記

この例では、ユーザーは の外部から他の SageMaker APIアクションを実行できますVPC。内からのAPI呼び出しを制限する方法についてはVPC、「」を参照してくださいID ベースのポリシーを使用して SageMaker APIへのアクセスを制御する

Amazon SageMaker Feature Store のVPCエンドポイントを作成するには、次のエンドポイントテンプレートを使用して、 を置き換えます。VPC_Endpoint_ID.api また、Region:

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

を介して および SageMaker Runtime を呼び SageMaker API出すにはVPC、 内にあるインスタンスから接続するか、 VPC VPCを使用してプライベートネットワークを に接続する必要があります。 AWS Virtual Private Network (AWS VPN) または AWS Direct Connect。 の詳細については、「」を参照してください。 AWS VPN、VPN「Amazon Virtual Private Cloud ユーザーガイド」の「接続」を参照してください。 Amazon Virtual Private Cloud 参考情報 AWS Direct Connect、「」の「接続の作成」を参照してください。 AWS Direct Connect ユーザーガイド