VPC 内の Amazon SageMaker Studio を外部リソースに接続する - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC 内の Amazon SageMaker Studio を外部リソースに接続する

重要

2023 年 11 月 30 日現在、以前の Amazon SageMaker Studio エクスペリエンスは Amazon SageMaker Studio Classic という名前になりました。次のセクションは、更新された Studio エクスペリエンスの使用に固有のものです。Studio Classic アプリケーションの使用については、「」を参照してくださいAmazon SageMaker Studio Classic

次のトピックでは、VPC 内の Amazon SageMaker Studio を外部リソースに接続する方法について説明します。

インターネットとのデフォルトの通信

デフォルトでは、Amazon SageMaker Studio は、 によって管理される VPC を介したインターネットとの通信を可能にするネットワークインターフェイスを提供します SageMaker。Amazon S3 や などの AWS サービスへのトラフィックは、API や SageMaker ランタイムにアクセスするトラフィックと同様に、インターネットゲートウェイ CloudWatch を通過します SageMaker。ドメインと Amazon EFS ボリューム間のトラフィックは、ドメインへのオンボーディング時または CreateDomain API の呼び出し時に指定した VPC を経由します。

インターネットとの VPC only 通信

Studio にインターネットアクセスを提供 SageMaker できないようにするには、Studio にオンボードするか CreateDomain API を呼び出すときにVPC onlyネットワークアクセスタイプを指定することで、インターネットアクセスを無効にできます。その結果、VPC に SageMaker API とランタイムへのインターフェイスエンドポイント、またはインターネットにアクセスできる NAT ゲートウェイがあり、セキュリティグループがアウトバウンド接続を許可しない限り、Studio を実行できなくなります。

注記

ネットワークアクセスタイプは、ドメイン作成後に update-domain コマンドの --app-network-access-typeパラメータを使用して変更できます。

VPC only モードを使用するための要件

VpcOnly を選択した場合は、次の手順に従います。

  1. プライベートサブネットのみを使用する必要があります。パブリックサブネットは、VpcOnly モードでは使用できません。

  2. サブネットに必要な IP アドレス数があることを確認してください。ユーザー 1 人あたりに必要な IP アドレスの数は、ユースケースによって異なる場合があります。ユーザー 1 人につき 2~4 個の IP アドレスを推奨します。ドメインの合計 IP アドレス容量は、ドメインの作成時に提供される各サブネットで使用可能な IP アドレスの合計です。予想される IP アドレスの使用数が、指定するサブネットの数でサポートされる数を超えないようにしてください。また、多数のアベイラビリティーゾーンに分散されたサブネットを使用すると、IP アドレスの可用性を高めることができます。詳細については、「IPv4 用の VPC とサブネットのサイズ設定」を参照してください。

    注記

    デフォルトのテナンシー VPC でのみサブネットを設定できます。このデフォルトでは、インスタンスが共有ハードウェアで実行されます。VPC のテナンシー属性の詳細については、「ハードウェア専有インスタンス」を参照してください。

  3. 警告

    VpcOnly モードを使用すると、ドメインのネットワーク設定の一部を所有することになります。セキュリティのベストプラクティスとして、セキュリティグループのルールが提供するインバウンドアクセスとアウトバウンドアクセスに最小特権のアクセス許可を適用することをお勧めします。過度に許可されるインバウンドルール設定では、VPC にアクセスできるユーザーが認証なしで他のユーザープロファイルのアプリケーションとやり取りできる可能性があります。

    以下のトラフィックを許可するインバウンドルールとアウトバウンドルールを使用して、1 つ以上のセキュリティグループを設定します。

    ユーザープロファイルごとに個別のセキュリティグループを作成し、同じセキュリティグループからのインバウンドアクセスを追加します。ドメインレベルのセキュリティグループをユーザープロファイルに再利用することはお勧めしません。ドメインレベルのセキュリティグループがそれ自体へのインバウンドアクセスを許可すると、ドメイン内のすべてのアプリケーションがドメイン内の他のすべてのアプリケーションにアクセスできるようになります。

  4. インターネットアクセスを許可する場合は、インターネットゲートウェイなどを経由してインターネットにアクセスできる NAT ゲートウェイを使用する必要があります。

  5. インターネットへのアクセスを許可しない場合は、インターフェイス VPC エンドポイント (AWS PrivateLink) を作成して、Studio が対応するサービス名で次のサービスにアクセスできるようにします。また、VPC のセキュリティグループをこれらのエンドポイントに関連付ける必要があります。

    • SageMaker API : com.amazonaws.region.sagemaker.api

    • SageMaker ランタイム: com.amazonaws.region.sagemaker.runtime。Studio ノートブックを実行し、モデルをトレーニングおよびホストするために必要です。

    • Amazon S3: com.amazonaws.region.s3

    • SageMaker プロジェクト: com.amazonaws.region.servicecatalog

    • SageMaker Studio: aws.sagemaker.region.studio

    • 必要なその他の AWS サービス。

    SageMaker Python SDK を使用してリモートトレーニングジョブを実行する場合は、次の Amazon VPC エンドポイントも作成する必要があります。

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch: com.amazonaws.region.logs。 これは、 SageMaker Python SDK が からリモートトレーニングジョブのステータスを取得できるようにするために必要です Amazon CloudWatch。

  6. オンプレミスネットワークから VpcOnly モードでドメインを使用する場合は、ブラウザで Studio を実行しているホストのネットワークとターゲット Amazon VPC からプライベート接続を確立します。これは、Studio UI が一時的な AWS 認証情報で API コールを使用して AWS エンドポイントを呼び出すために必要です。これらの一時的な認証情報は、ログに記録されたユーザープロファイルの実行ロールに関連付けられます。ドメインがオンプレミスネットワークで VpcOnlyモードで設定されている場合、実行ロールは、設定された Amazon VPC エンドポイントを介してのみ AWS サービス API コールの実行を強制する IAM ポリシー条件を定義することがあります。これにより、Studio UI から実行される API コールが失敗します。これを解決するには、 AWS Site-to-Site VPNまたは AWS Direct Connect接続を使用することをお勧めします。

注記

VPC モードで作業している顧客の場合、会社のファイアウォールによって Studio またはアプリケーションとの接続の問題が発生する可能性があります。ファイアウォールの内側から Studio を使用する際に、これらの問題のいずれかが発生した場合は、次の点を確認してください。

  • すべてのアプリケーションの Studio URL と URLs がネットワークの許可リストに含まれていることを確認します。例:

    *.studio.region.sagemaker.aws *.console.aws.a2z.com
  • WebSocket 接続がブロックされていないことを確認します。Jupyter はウェブソケットを使用します。