の Amazon SageMaker Studio VPCを外部リソースに接続する - Amazon SageMaker AI

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の Amazon SageMaker Studio VPCを外部リソースに接続する

重要

2023 年 11 月 30 日現在、以前の Amazon SageMaker Studio エクスペリエンスは Amazon SageMaker Studio Classic という名前になりました。以下のセクションは、更新後の Studio のエクスペリエンスに沿った内容になっています。Studio Classic アプリケーションを使用する場合は、「Amazon SageMaker Studio Classic」を参照してください。

次のトピックでは、 の Amazon SageMaker Studio をVPC外部リソースに接続する方法について説明します。

インターネットとのデフォルトの通信

デフォルトでは、Amazon SageMaker Studio は SageMaker AI がVPC管理する を介してインターネットとの通信を可能にするネットワークインターフェイスを提供します。Amazon S3 や などの AWS サービスへのトラフィック CloudWatch は、 SageMaker AI APIや SageMaker AI ランタイムにアクセスするトラフィックと同様に、インターネットゲートウェイを通過します。ドメインと Amazon EFSボリューム間のトラフィックは、ドメインへのオンボーディング時または の呼び出し時にVPC指定した CreateDomain を通過しますAPI。

インターネットとの VPC only 通信

SageMaker AI が Studio にインターネットアクセスを提供できないようにするには、Studio にオンボードするとき、または CreateDomain を呼び出すときにVPC onlyネットワークアクセスタイプを指定することで、インターネットアクセスを無効にできますAPI。その結果、 に および ランタイムへの SageMaker APIインターフェイスエンドポイントVPCがあるか、インターネットにアクセスできるNATゲートウェイがあり、セキュリティグループがアウトバウンド接続を許可していない限り、Studio を実行できなくなります。

注記

ドメイン作成後に、update-domain コマンドの --app-network-access-type パラメータを使用して、ネットワークアクセスタイプを変更できます。

VPC only モードを使用するための要件

VpcOnly を選択した場合は、次の手順に従います。

  1. プライベートサブネットのみを使用する必要があります。パブリックサブネットは、VpcOnly モードでは使用できません。

  2. サブネットに必要な IP アドレス数があることを確認してください。ユーザー 1 人あたりに必要な IP アドレスの数は、ユースケースによって異なる場合があります。ユーザー 1 人につき 2~4 個の IP アドレスを推奨します。ドメインの IP アドレス数の合計は、ドメインの作成時に提供された各サブネットで使用可能な IP アドレスの合計です。予想される IP アドレスの使用数が、指定するサブネットの数でサポートされる数を超えないようにしてください。また、多数のアベイラビリティーゾーンに分散されたサブネットを使用すると、IP アドレスの可用性を高めることができます。詳細については、VPC「」および「 のサブネットサイズ設定IPv4」を参照してください。

    注記

    インスタンスが共有ハードウェアVPCで実行されるデフォルトのテナンシーを持つサブネットのみを設定できます。のテナンシー属性の詳細についてはVPCs、「ハードウェア専有インスタンス」を参照してください。

  3. 警告

    VpcOnly モードを使用すると、ドメインのネットワーク設定の一部を所有することになります。セキュリティのベストプラクティスとして、セキュリティグループのルールが提供するインバウンドアクセスとアウトバウンドアクセスに最小特権のアクセス許可を適用することをお勧めします。インバウンドルールの設定が過度に許容されている場合、 にアクセスできるユーザーは、認証なしで他のユーザープロファイルのアプリケーションとVPCやり取りできます。

    以下のトラフィックを許可するインバウンドルールとアウトバウンドルールを使用して、1 つ以上のセキュリティグループを設定します。

    ユーザープロファイルごとに個別のセキュリティグループを作成し、同じセキュリティグループからのインバウンドアクセスを追加します。ドメインレベルのセキュリティグループをユーザープロファイルに再利用することはお勧めしません。ドメインレベルのセキュリティグループがそれ自体へのインバウンドアクセスを許可すると、ドメイン内のすべてのアプリケーションがドメイン内の他のすべてのアプリケーションにアクセスできるようになります。

  4. インターネットへのアクセスを許可する場合は、インターネットNATゲートウェイ経由など、インターネットにアクセスできるゲートウェイを使用する必要があります。

  5. インターネットアクセスを許可しない場合は、インターフェイスVPCエンドポイント () を作成して、Studio が対応するサービス名で次のサービスにアクセスできるようにします。AWS PrivateLinkまた、 のセキュリティグループをこれらのエンドポイントVPCに関連付ける必要があります。

    • SageMaker API : com.amazonaws.region.sagemaker.api.

    • SageMaker AI ランタイム: com.amazonaws.region.sagemaker.runtime。Studio ノートブックを実行し、モデルをトレーニングおよびホストするために必要です。

    • Amazon S3: com.amazonaws.region.s3

    • SageMaker プロジェクト: com.amazonaws.region.servicecatalog

    • SageMaker Studio: aws.sagemaker.region.studio

    • 必要なその他の AWS サービス。

    SageMaker Python SDK を使用してリモートトレーニングジョブを実行する場合は、次の Amazon VPCエンドポイントも作成する必要があります。

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch: com.amazonaws.region.logs。 これは、Python SageMaker がリモートトレーニングジョブのステータスを取得SDKできるようにするために必要です Amazon CloudWatch。

  6. オンプレミスネットワークから VpcOnly モードでドメインを使用する場合は、ブラウザで Studio を実行しているホストのネットワークとターゲット Amazon からプライベート接続を確立しますVPC。これは、Studio UI が一時的な AWS 認証情報を使用したAPI呼び出しを使用して AWS エンドポイントを呼び出すために必要です。これらの一時的な認証情報は、ログインしたユーザープロファイルの実行ロールに関連付けられています。ドメインがオンプレミスネットワークで VpcOnly モードで設定されている場合、実行ロールは、設定された Amazon VPCエンドポイントを介してのみ AWS サービスAPI呼び出しを実行するIAMポリシー条件を定義する場合があります。これにより、Studio UI から実行されるAPI呼び出しが失敗します。これを解決するには、AWS Site-to-Site VPN または AWS Direct Connect 接続を使用することをお勧めします。

注記

VPC モード内で作業している顧客の場合、会社のファイアウォールによって Studio またはアプリケーションとの接続の問題が発生する可能性があります。ファイアウォールの背後から Studio を使用している際にこれらの問題のいずれかが発生した場合は、次の点を確認してください。

  • URLs すべてのアプリケーションの Studio URLと がネットワークの許可リストに含まれていることを確認します。以下に例を示します。

    *.studio.region.sagemaker.aws *.console.aws.a2z.com
  • Websocket 接続がブロックされていないことを確認します。Jupyter は Websocket を使用します。