翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
VPC インターフェイスエンドポイント経由でノートブックインスタンスに接続する
パブリックインターネット経由で接続するのではなく、仮想プライベートクラウド (VPC) のインターフェイスエンドポイントVPCを介して からノートブックインスタンスに接続できます。VPC インターフェイスエンドポイントを使用すると、 VPCとノートブックインスタンス間の通信は、 内で完全かつ安全に実施されます。 AWS ネットワーク。
SageMaker ノートブックインスタンスは、 を搭載した Amazon Virtual Private Cloud (Amazon VPC) インターフェイスエンドポイントをサポートします。 AWS PrivateLink。各VPCエンドポイントは、VPCサブネット内のプライベート IP アドレスを持つ 1 つ以上の Elastic Network Interface によって表されます。
注記
ノートブックインスタンスに接続するためのインターフェイスVPCエンドポイントを作成する前に、 に接続するためのインターフェイスVPCエンドポイントを作成します SageMaker API。これにより、ユーザーが を呼び出すと、 CreatePresignedNotebookInstanceUrl ノートブックインスタンスに接続URLするための を取得するには、その呼び出しもインターフェイスVPCエンドポイントを経由します。詳細については、 SageMaker 内に接続する VPC を参照してください。
インターフェイスエンドポイントを作成して、 のいずれかを使用してノートブックインスタンスに接続できます。 AWS Management Console または AWS Command Line Interface (AWS CLI) コマンド。手順については、「インターフェイスエンドポイントの作成」を参照してください。ノートブックインスタンスVPCに接続する のすべてのサブネットのインターフェイスエンドポイントを必ず作成してください。
インターフェイスエンドポイントを作成するときは、aws.sagemaker を指定します。Region
サービス名としての .notebook。VPC エンドポイントを作成したら、VPCエンドポイントDNSのプライベートを有効にします。を使用しているすべてのユーザー SageMaker API、 AWS CLI、または 内からノートブックインスタンスに接続するコンソールは、パブリックインターネットではなくVPCエンドポイントを介してノートブックインスタンスVPCに接続します。
SageMaker ノートブックインスタンスは、すべての でVPCエンドポイントをサポートします。 AWS リージョン Amazon VPC と の両方SageMakerが利用可能な 。
プライベートネットワークを に接続する VPC
を介してノートブックインスタンスに接続するにはVPC、 内のインスタンスから接続するかVPC、 VPCを使用してプライベートネットワークを に接続する必要があります。 AWS Virtual Private Network (AWS VPN) または AWS Direct Connect。 の詳細については、「」を参照してください。 AWS VPN、VPN「Amazon Virtual Private Cloud ユーザーガイド」の「接続」を参照してください。 Amazon Virtual Private Cloud 参考情報 AWS Direct Connect、「」の「接続の作成」を参照してください。 AWS Direct Connect ユーザーガイド 。
ノートブックインスタンスのVPC SageMakerエンドポイントポリシーを作成する
SageMaker ノートブックインスタンスの Amazon VPCエンドポイントのポリシーを作成して、以下を指定できます。
-
アクションを実行できるプリンシパル。
-
実行可能なアクション。
-
このアクションを実行できるリソース。
詳細については、「Amazon VPCユーザーガイド」のVPC「エンドポイントを使用したサービスへのアクセスの制御」を参照してください。
次のVPCエンドポイントポリシーの例では、エンドポイントにアクセスできるすべてのユーザーが、 という名前のノートブックインスタンスへのアクセスを許可されることを指定しますmyNotebookInstance
。
{ "Statement": [ { "Action": "sagemaker:CreatePresignedNotebookInstanceUrl", "Effect": "Allow", "Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance", "Principal": "*" } ] }
他のノートブックインスタンスへのアクセスは拒否されます。
内からの接続へのアクセスを制限する VPC
でインターフェイスエンドポイントをセットアップした場合でもVPC、 外の個人はインターネット経由でノートブックインスタンスに接続VPCできます。
重要
次のいずれかのようなIAMポリシーを適用すると、ユーザーはコンソールから指定された SageMaker APIs またはノートブックインスタンスにアクセスできなくなります。
内から行われた接続のみへのアクセスを制限するにはVPC、 を作成します。 AWS Identity and Access Management ポリシーは、 内からの呼び出しのみへのアクセスを制限しますVPC。次に、そのポリシーをすべての に追加します。 AWS Identity and Access Management ノートブックインスタンスへのアクセスに使用される ユーザー、グループ、またはロール。
注記
このポリシーでは、インターフェイスのエンドポイントを作成したサブネット内の発信者にのみ接続を許可します。
{ "Id": "notebook-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable Notebook Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedNotebookInstanceUrl", "sagemaker:DescribeNotebookInstance" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-111bbaaa" } } } ] }
ノートブックインスタンスへのアクセスをインターフェイスエンドポイントを使って行われた接続のみに制限したい場合は、aws:SourceVpc:
の代わりに aws:SourceVpce
条件キーを使用してください。
{ "Id": "notebook-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "Enable Notebook Access", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedNotebookInstanceUrl", "sagemaker:DescribeNotebookInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": [ "vpce-111bbccc", "vpce-111bbddd" ] } } } ] }
これらのポリシー例では、 のインターフェイスエンドポイントも作成されていることを前提としています SageMaker API。詳細については、「 SageMaker 内に接続する VPC」を参照してください。2 番目の例では、aws:SourceVpce
の値の 1 つは、ノートブックインスタンスのインターフェイスエンドポイントの ID です。もう 1 つは、 のインターフェイスエンドポイントの ID です SageMaker API。
ここでのポリシーの例は次のとおりです。
DescribeNotebookInstance、通常、 DescribeNotebookInstance
を呼び出して、接続を試みるInService
前に NotebookInstanceStatus
が であることを確認します。例:
aws sagemaker describe-notebook-instance \ --notebook-instance-name myNotebookInstance { "NotebookInstanceArn": "arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance", "NotebookInstanceName": "myNotebookInstance", "NotebookInstanceStatus": "InService", "Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws", "InstanceType": "ml.m4.xlarge", "RoleArn": "arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456", "LastModifiedTime": 1540334777.501, "CreationTime": 1523050674.078, "DirectInternetAccess": "Disabled" } aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance { "AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=
AuthToken
}
注記
生成された presigned-notebook-instance-url
、AuthorizedUrl
は、インターネット上のどこからでも使用できます。
これらの呼び出しの両方で、VPCエンドポイントのプライベートDNSホスト名を有効にしなかった場合、または のバージョンを使用している場合 AWS SDK 2018 年 8 月 13 日より前にリリースされた は、 呼び出しURLでエンドポイントを指定する必要があります。例えば、create-presigned-notebook-instance-url
の呼び出しは以下のようになります。
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name
myNotebookInstance
--endpoint-urlVPC_Endpoint_ID
.api.sagemaker.Region
.vpce.amazonaws.com