翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
トレーニングおよび推論コンテナをインターネット無料モードで実行する
SageMaker トレーニングコンテナとデプロイされた推論コンテナは、デフォルトでインターネットで有効になっています。これにより、コンテナは、トレーニングと推論ワークロードの一部として、外部サービスとパブリックインターネットのリソースにアクセスできるようになります。ただし、これによってデータへの不正アクセスの手段が生じることもあります。例えば、悪意のあるユーザーや、(一般公開されているソースコードライブラリの形式で) コンテナに誤ってインストールしたコードがデータにアクセスし、そのデータをリモートホストに転送する可能性があります。
CreateTrainingJob
、、または を呼び出すときに VpcConfig
パラメータの値を指定VPCして Amazon を使用する場合はCreateHyperParameterTuningJob
、セキュリティグループを管理しCreateModel
、 からのインターネットアクセスを制限することで、データとリソースを保護できますVPC。ただし、これには追加のネットワーク設定のコストがかかります。また、ネットワークが適切に設定されないというリスクが付随します。トレーニングコンテナまたは推論コンテナへの外部ネットワークアクセス SageMaker を提供しない場合は、ネットワーク分離を有効にできます。
ネットワークの隔離
トレーニングジョブまたはモデルの作成時にネットワーク分離を有効にするには、CreateTrainingJob
、CreateHyperParameterTuningJob
、または CreateModel
を呼び出すときに EnableNetworkIsolation
パラメータの値を True
に設定できます。
注記
のリソースを使用してトレーニングジョブとモデルを実行するには、ネットワーク分離が必要です AWS Marketplace。 セキュリティを強化するには、 AWS Marketplace イメージは Amazon 内で実行されますVPC。ローカルファイルシステム内のデータにのみアクセスできます。
ネットワーク分離を有効にすると、コンテナは他の であってもアウトバウンドネットワークコールを実行できません。 AWS Amazon S3 などの サービス。さらに、 AWS 認証情報は、コンテナランタイム環境で使用できます。複数のインスタンスを持つトレーニングジョブの場合、ネットワークインバウンドトラフィックとアウトバウンドトラフィックは、各トレーニングコンテナのピアに制限されます。 SageMaker のストリルは、トレーニングコンテナまたは推論コンテナとは別に SageMaker 、実行ロールを使用して Amazon S3 に対してダウンロードおよびアップロードオペレーションを実行します。
以下のマネージド SageMaker コンテナはAmazon S3へのアクセスが必要なため、ネットワーク分離をサポートしていません。
-
Chainer
-
SageMaker 強化学習
によるネットワーク分離 VPC
ネットワーク分離は、 と組み合わせて使用できますVPC。このシナリオでは、顧客データとモデルアーティファクトのダウンロードとアップロードがVPCサブネット経由でルーティングされます。ただし、トレーニングコンテナと推論コンテナ自体は引き続きネットワークから分離され、 内VPCまたはインターネット上のどのリソースにもアクセスできません。