インターネットにアクセスVPCせずに で Amazon SageMaker Canvas を設定する - Amazon SageMaker
インターネットにアクセスVPCせずに で Amazon SageMaker Canvas を設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インターネットにアクセスVPCせずに で Amazon SageMaker Canvas を設定する

Amazon SageMaker Canvas アプリケーションは、 AWS マネージド Amazon Virtual Private Cloud () のコンテナで実行されますVPC。リソースへのアクセスをさらに制御したり、パブリックインターネットアクセスなしで Canvas SageMaker を実行したりする場合は、Amazon SageMaker ドメインと VPC 設定を設定できます。独自の 内でVPC、セキュリティグループ (Amazon EC2インスタンスからのインバウンドトラフィックとアウトバウンドトラフィックを制御する仮想ファイアウォール) やサブネット ( の IP アドレスの範囲) などの設定を行うことができますVPC。の詳細についてはVPCs、「Amazon の VPCの仕組み」を参照してください。

SageMaker Canvas アプリケーションが AWS マネージド で実行されている場合VPC、インターネット接続またはカスタマーマネージド で作成されたVPCエンドポイント VPC (パブリックインターネットアクセスなし) を使用して、他の AWS サービスとやり取りできます。 SageMaker Canvas アプリケーションは、お客様が管理する への接続を提供する Studio Classic が作成したネットワークインターフェイスを介してこれらのVPCエンドポイントにアクセスできますVPC。 SageMaker Canvas アプリケーションのデフォルトの動作は、インターネットアクセスです。インターネット接続を使用する場合、前述のジョブのコンテナは、トレーニングデータやモデルアーティファクトを保存する Amazon S3 バケットなどの AWS リソースにインターネット経由でアクセスします。

ただし、データとジョブコンテナへのアクセスを制御するセキュリティ要件がある場合は、データとコンテナにインターネット経由でアクセスできないVPCように Canvas SageMaker と SageMaker を設定することをお勧めします。 は、Canvas のドメインを設定するときに指定したVPC構成設定 SageMaker を使用します。

インターネットにアクセスせずに SageMaker Canvas アプリケーションを設定する場合は、Amazon SageMaker ドメイン にオンボードし、VPCエンドポイントを設定し、必要な AWS Identity and Access Management アクセス許可を付与VPCするときに設定を行う必要があります。Amazon VPCでの の設定については、 SageMaker「」を参照してくださいAmazon を選択する VPC。以下のセクションでは、パブリックインターネットアクセスVPCのない で SageMaker Canvas を実行する方法について説明します。

インターネットにアクセスVPCせずに で Amazon SageMaker Canvas を設定する

Canvas SageMaker から他の AWS サービスにトラフィックを送信するには、独自の を使用しますVPC。独自の にパブリックインターネットアクセスVPCがなく、ドメインを モードでVPCのみ設定した場合、Canvas SageMaker にもパブリックインターネットアクセスはありません。これには、Amazon S3 のデータセットへのアクセスや標準ビルドのトレーニングジョブなど、すべてのリクエストが含まれ、リクエストはパブリックインターネットVPCではなく のVPCエンドポイントを経由します。ドメインと にオンボードするときはAmazon を選択する VPC、目的のセキュリティグループとサブネット設定とともに、ドメインVPCのデフォルトVPCとして独自の を指定できます。次に、 SageMaker は、Canvas SageMaker VPCが のVPCエンドポイントにアクセスするために使用するネットワークインターフェイスを に作成しますVPC。

セキュリティグループ 内のトラフィックを許可するインバウンドルールとアウトバウンドルールVPCを使用して、 に 1 つ以上のセキュリティグループを設定してください。 TCP これは、Jupyter Server アプリケーションとカーネルゲートウェイアプリケーション間の接続に必要です。範囲 8192-65535 内の最小数のポートへのアクセスを許可する必要があります。また、ユーザープロファイルごとに個別のセキュリティグループを作成し、同じセキュリティグループからのインバウンドアクセスを追加してください。ユーザープロファイルにドメインレベルのセキュリティグループを再利用することはお勧めしません。ドメインレベルのセキュリティグループがそれ自体へのインバウンドアクセスを許可する場合、ドメイン内のすべてのアプリケーションは、ドメイン内の他のすべてのアプリケーションにアクセスできます。セキュリティグループとサブネットの設定は、ドメインへのオンボーディングが完了した後に設定されることに注意してください。

ドメインへのオンボーディング時に、パブリックインターネットをネットワークアクセスタイプとしてのみ選択すると、 VPC は SageMaker 管理され、インターネットアクセスを許可します。

この動作は、 が指定した で SageMaker を作成するネットワークインターフェイスにすべてのトラフィックを送信するように SageMakerVPCのみ選択することで変更できますVPC。このオプションを選択するときは、 および SageMaker ランタイムとの SageMaker API通信に必要なサブネット、セキュリティグループ、VPCエンドポイント、および SageMaker Canvas CloudWatchで使用される Amazon S3 や Amazon などのさまざまな AWS サービスを指定する必要があります。と同じリージョンにある Amazon S3 バケットからのみデータをインポートできることに注意してくださいVPC。

次の手順は、インターネットなしで Canvas SageMaker を使用するようにこれらの設定を構成する方法を示しています。

ステップ 1: Amazon SageMaker ドメインにオンボードする

インターネットVPCではなく独自のネットワークインターフェイスに SageMaker Canvas トラフィックを送信するには、Amazon ドメイン へのオンボーディング時にVPC使用する を指定します。 SageMaker また、 で使用できるサブネットを少なくとも 2 つ指定する必要がありますVPC SageMaker 。ドメインのネットワークとストレージセクションを設定するときは、標準セットアップを選択し、次の手順を実行します。

  1. 目的の を選択しますVPC

  2. 2 つ以上の [サブネット] を選択します。サブネットを指定しない場合、 は 内のすべてのサブネット SageMaker を使用しますVPC。

  3. 1 つ以上の [セキュリティグループ] を選択します。

  4. Canvas VPCがホストされている AWS 管理の SageMaker で直接インターネットアクセスをオフにするには、 VPC のみを選択します。

インターネットアクセスを無効にしたら、オンボーディングプロセスを完了してドメインを設定します。Amazon SageMaker ドメインVPCの設定の詳細については、「」を参照してくださいAmazon を選択する VPC

ステップ 2: VPCエンドポイントとアクセスを設定する

注記

独自の で Canvas を設定するにはVPC、VPCエンドポイントのプライベートDNSホスト名を有効にする必要があります。詳細については、VPC「インターフェイスエンドポイント SageMaker を介して に接続する」を参照してください。

SageMaker Canvas は、その機能のデータを管理および保存するためにのみ、他の AWS サービスにアクセスします。例えば、ユーザーが Amazon Redshift データベースにアクセスすると、SageMaker Canvas は Amazon Redshift に接続します。インターネット接続またはVPCエンドポイントを使用して、Amazon Redshift などの AWS サービスに接続できます。からパブリックインターネットを使用しない AWS サービスVPCへの接続を設定する場合は、VPCエンドポイントを使用します。

VPC エンドポイントは、パブリックインターネットから分離されたネットワークパスを使用する AWS サービスへのプライベート接続を作成します。例えば、独自の のVPCエンドポイントを使用して Amazon S3 へのアクセスを設定するとVPC、Canvas SageMaker アプリケーションは のネットワークインターフェイスを経由VPCし、Amazon S3 に接続するVPCエンドポイントを経由することで Amazon S3 にアクセスできます。 SageMaker Canvas と Amazon S3 間の通信はプライベートです。

のVPCエンドポイントの設定の詳細についてはVPC、「」を参照してくださいAWS PrivateLink。で Canvas の Amazon Bedrock モデルを使用している場合VPC、データへのアクセスの制御の詳細については、「Amazon Bedrock ユーザーガイド」の「 を使用してジョブを保護するVPC」を参照してください。

SageMaker Canvas で使用できる各サービスのVPCエンドポイントは次のとおりです。

サービス エンドポイント エンドポイントタイプ

AWS Application Auto Scaling

com.amazonaws。Region.application-autoscaling

インターフェイス

Amazon Athena

com.amazonaws。Regionathena.

インターフェイス

Amazon SageMaker

com.amazonaws。Region.sagemaker.api

com.amazonaws。Region.sagemaker.runtime

com.amazonaws。Regionノートブック

インターフェイス

AWS Security Token Service

com.amazonaws。Region.sts

インターフェイス

Amazon Elastic Container Registry (Amazon ECR)

com.amazonaws。Region.ecr.api

com.amazonaws。Region.ecr.dkr

インターフェイス

Amazon Elastic Compute Cloud (Amazon EC2)

com.amazonaws。Regionec2.

インターフェイス

Amazon Simple Storage Service (Amazon S3)

com.amazonaws。Regions3.

ゲートウェイ

Amazon Redshift

com.amazonaws。Region.redshift データ

インターフェイス

AWS Secrets Manager

com.amazonaws。Regionsecretsmanager。

インターフェイス

AWS Systems Manager

com.amazonaws。Regionssm。

インターフェイス

Amazon CloudWatch

com.amazonaws。Region.モニタリング

インターフェイス

Amazon CloudWatch Logs

com.amazonaws。Region.logs

インターフェイス

Amazon Forecast

com.amazonaws。Region.予測

com.amazonaws。Region.forecastquery

インターフェイス

Amazon Textract

com.amazonaws。Region.textract

インターフェイス

Amazon Comprehend

com.amazonaws。Region.comprehend

インターフェイス

Amazon Rekognition

com.amazonaws。Region.rekognition

インターフェイス

AWS Glue

com.amazonaws。Region.glue

インターフェイス

AWS Application Auto Scaling

com.amazonaws。Region.application-autoscaling

インターフェイス

Amazon Relational Database Service (Amazon RDS)

com.amazonaws。Regionrds。

インターフェイス

Amazon Bedrock

com.amazonaws。Region.bedrock-runtime

インターフェイス

Amazon Kendra

com.amazonaws。Region.kendra

インターフェイス

Amazon EMR サーバーレス

com.amazonaws。Region.emr サーバーレス

インターフェイス
注記

Amazon Bedrock では、インターフェイスエンドポイントのサービス名 com.amazonaws.Region.bedrock は廃止されました。前の表にリストされているサービス名で新しいVPCエンドポイントを作成します。

さらに、インターネットアクセスなしで Canvas の基盤モデルVPCsを微調整することはできません。これは、Amazon Bedrock がモデルカスタマイズ のVPCエンドポイントをサポートしていないためですAPIs。Canvas での基盤モデルの微調整の詳細については、「」を参照してください基盤モデルを微調整する

また、エンドポイントへの AWS プリンシパルアクセスを制御するには、Amazon S3 のVPCエンドポイントポリシーを追加する必要があります。VPC エンドポイントポリシーを更新する方法については、VPC「エンドポイントポリシー を使用してエンドポイントへのアクセスを制御する」を参照してください。

以下は、使用できる 2 つのVPCエンドポイントポリシーです。データのインポートやモデルの作成など、Canvas の基本機能へのアクセスのみを許可する場合は、最初のポリシーを使用します。Canvas の追加の生成 AI 機能へのアクセスを許可する場合は、2 番目のポリシーを使用します。

Basic VPC endpoint policy

次のポリシーは、Canvas の基本的なオペレーションに必要なVPCエンドポイントへのアクセスを許可します。

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }
Generative AI VPC endpoint policy

次のポリシーは、Canvas での基本的なオペレーションや生成 AI 基盤モデルの使用に必要なVPCエンドポイントへのアクセスを許可します。

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*",
                "arn:aws:s3:::*fmeval/datasets*",
                "arn:aws:s3:::*jumpstart-cache-prod*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }

ステップ 3: アクセスIAM許可を付与する

SageMaker Canvas ユーザーは、VPCエンドポイントへの接続を許可するために必要な AWS Identity and Access Management アクセス許可を持っている必要があります。アクセス許可を付与するIAMロールは、Amazon SageMaker ドメインへのオンボーディング時に使用したロールと同じである必要があります。 SageMaker 管理AmazonSageMakerFullAccessポリシーをユーザーのIAMロールにアタッチして、ユーザーに必要なアクセス許可を付与できます。より制限の厳しいIAMアクセス許可が必要で、代わりにカスタムポリシーを使用する場合は、ユーザーのロールに ec2:DescribeVpcEndpointServices アクセス許可を付与します。Canvas SageMaker では、標準ビルドジョブに必要なVPCエンドポイントが存在することを確認するために、これらのアクセス許可が必要です。これらのVPCエンドポイントを検出すると、標準ビルドジョブはデフォルトで で実行されますVPC。それ以外の場合は、デフォルトの AWS マネージド で実行されますVPC。

AmazonSageMakerFullAccess IAM ポリシーをユーザーのIAMロールにアタッチする方法については、IAM「ID アクセス許可の追加と削除」を参照してください。

ユーザーのIAMロールにきめ細かなec2:DescribeVpcEndpointServicesアクセス許可を付与するには、次の手順を使用します。

  1. にサインイン AWS Management Console し、IAMコンソール を開きます。

  2. ナビゲーションペインで [ロール] を選択します。

  3. リストで、権限を付与するロールの名前を選択します。

  4. [アクセス許可] タブを選択します。

  5. [アクセス許可を追加][インラインポリシーを作成] の順に選択します。

  6. JSON タブを選択し、 アクセスec2:DescribeVpcEndpointServices許可を付与する次のポリシーを入力します。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "ec2:DescribeVpcEndpointServices",
            "Resource": "*"
        }
    ]
}

  7. [ポリシーの確認] を選択して、ポリシーの [名前] を入力します (例: VPCEndpointPermissions)。

  8. [Create policy] を選択します。

これで、ユーザーのIAMロールに、 で設定されたVPCエンドポイントへのアクセス許可が付与されますVPC。

(オプション) 手順 4: 特定のユーザーのセキュリティグループ設定を上書きする

管理者の場合は、異なるユーザーに異なるVPC設定、またはユーザー固有のVPC設定を持たせる場合があります。特定のユーザーのデフォルトの VPCのセキュリティグループ設定を上書きすると、これらの設定はそのユーザーの Canvas SageMaker アプリケーションに渡されます。

Studio Classic で新しいユーザープロファイルを設定するVPCときに、特定のユーザーが でアクセスできるセキュリティグループを上書きできます。CreateUserProfile SageMaker API 呼び出し (または で create_user_profileAWS CLI) を使用してUserSettings、 でSecurityGroupsユーザーの を指定できます。