翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon SageMaker Canvas アプリケーションは、 AWS マネージド Amazon Virtual Private Cloud (VPC) のコンテナで実行されます。リソースへのアクセスをさらに制御する場合や、パブリックインターネットアクセスなしで SageMaker Canvas を実行する場合は、Amazon SageMaker AI ドメインと VPC 設定を設定できます。独自の VPC では、セキュリティグループ (Amazon EC2 インスタンスからのインバウンドトラフィックとアウトバウンドトラフィックを制御する仮想ファイアウォール) やサブネット (VPC の IP アドレスの範囲) などを設定することができます。VPC の詳細については、「How Amazon VPC works」を参照してください。
SageMaker Canvas アプリケーションが AWS マネージド VPC で実行されている場合、インターネット接続を使用するか、カスタマーマネージド VPC で作成された VPC エンドポイント (パブリックインターネットアクセスなし) を介して、他の AWS サービスとやり取りできます。SageMaker Canvas アプリケーションは、Studio Classic で作成したネットワークインターフェイスを介してこれらの VPC エンドポイントにアクセスできます。これにより、カスタマーマネージド VPC への接続が可能になります。SageMaker Canvas アプリケーションは、デフォルトでインターネットにアクセスします。インターネット接続を使用する場合、前述のジョブのコンテナは、トレーニングデータやモデルアーティファクトを保存する Amazon S3 バケットなどの AWS リソースにインターネット経由でアクセスします。
ただし、データやジョブコンテナへのアクセスを制御するセキュリティ要件がある場合は、データやコンテナにインターネット経由でアクセスできないように SageMaker Canvas と VPC を設定することをお勧めします。SageMaker AI は、SageMaker Canvas のドメインを設定するときに指定した VPC 設定を使用します。
インターネットにアクセスせずに SageMaker Canvas アプリケーションを設定する場合は、Amazon SageMaker AI ドメインにオンボードし、VPC エンドポイントをセットアップして、必要な AWS Identity and Access Management アクセス許可を付与するときに VPC 設定を構成する必要があります。Amazon SageMaker AI での VPC の設定については、「」を参照してくださいAmazon VPC の選択。以下のセクションでは、パブリックインターネットにアクセスせず、VPC で SageMaker Canvas を実行する方法について説明します。
インターネットにアクセスせずに VPC で Amazon SageMaker Canvas を設定する
SageMaker Canvas から独自の VPC を介して他の AWS サービスにトラフィックを送信できます。独自の VPC にパブリックインターネットへのアクセスがなく、VPC 専用モードでドメインを設定している場合、SageMaker Canvas もパブリックインターネットにアクセスすることはできません。これには、Amazon S3 のデータセットへのアクセスや標準ビルドのトレーニングジョブなどのすべてのリクエストが含まれ、リクエストはパブリックインターネットではなく VPC の VPC エンドポイントを経由します。ドメインと Amazon VPC の選択 にオンボーディングする際、必要なセキュリティグループとサブネット設定とともに、独自の VPC をドメインのデフォルト VPC として指定できます。次に、SageMaker AI は、SageMaker Canvas が VPC 内の VPC エンドポイントにアクセスするために使用するネットワークインターフェイスを VPC に作成します。
セキュリティグループ内の TCP トラフィックを許可するインバウンドルールとアウトバウンドルールを使用して、VPC に 1 つ以上のセキュリティグループを設定してください。これは Jupyter Server アプリケーションとカーネルゲートウェイアプリケーションの間の接続に必要です。範囲 8192-65535
内の最小数のポートへのアクセスを許可する必要があります。また、ユーザープロファイルごとに個別のセキュリティグループを作成し、同じセキュリティグループからのインバウンドアクセスを必ず追加します。ドメインレベルのセキュリティグループをユーザープロファイルに再利用することはお勧めしません。ドメインレベルのセキュリティグループがそれ自体へのインバウンドアクセスを許可すると、ドメイン内のすべてのアプリケーションがドメイン内の他のすべてのアプリケーションにアクセスできるようになります。セキュリティグループとサブネットの設定は、ドメインへのオンボーディングが完了した後に設定されることに注意してください。
ドメインへのオンボーディング時に、パブリックインターネットをネットワークアクセスタイプとしてのみ選択すると、VPC は SageMaker AI マネージド型で、インターネットアクセスが許可されます。
この動作を変更するには、VPC のみを選択します。これにより、SageMaker AI が指定した VPC に作成するネットワークインターフェイスにすべてのトラフィックを SageMaker AI が送信します。このオプションを選択するときは、SageMaker API と SageMaker AI ランタイムとの通信に必要なサブネット、セキュリティグループ、VPC エンドポイント、および SageMaker Canvas で使用される Amazon S3 や Amazon CloudWatch などのさまざまな AWS サービスを指定する必要があります。 SageMaker VPC と同じリージョンにある Amazon S3 バケットからのみデータをインポートできることに注意してください。
以下の手順は、インターネットなしで SageMaker Canvas を使用するようにこれらの設定を行う方法を示しています。
ステップ 1: Amazon SageMaker AI ドメインにオンボードする
インターネットではなく独自の VPC のネットワークインターフェイスに SageMaker Canvas トラフィックを送信するには、Amazon SageMaker AI ドメインへのオンボーディング時に使用する VPC を指定します。また、SageMaker AI が使用できる VPC 内のサブネットを少なくとも 2 つ指定する必要があります。ドメインの [ネットワークとストレージのセクション] を設定する際は、[標準セットアップ] を選択し、次の手順に従います。
希望する [VPC] を選択します。
2 つ以上の [サブネット] を選択します。サブネットを指定しない場合、SageMaker AI は VPC 内のすべてのサブネットを使用します。
-
1 つ以上の [セキュリティグループ] を選択します。
SageMaker Canvas がホストされている AWS マネージド VPC で直接インターネットアクセスをオフにするには、VPC のみを選択します。
インターネットアクセスを無効化したら、オンボーディングプロセスを完了してドメインを設定します。Amazon SageMaker AI ドメインの VPC 設定の詳細については、「」を参照してくださいAmazon VPC の選択。
手順 2: VPC エンドポイントとアクセスを設定する
注記
独自の VPC で Canvas を設定するには、VPC エンドポイントのプライベート DNS ホスト名を有効にする必要があります。詳細については、「VPC インターフェイスエンドポイント経由で SageMaker AI に接続する」を参照してください。
SageMaker Canvas は、その機能のデータを管理および保存するために、他の AWS サービスにのみアクセスします。例えば、ユーザーが Amazon Redshift データベースにアクセスすると、SageMaker Canvas は Amazon Redshift に接続します。インターネット接続または VPC エンドポイントを使用して、Amazon Redshift などの AWS サービスに接続できます。VPC エンドポイントは、VPC からパブリックインターネットを使用しない AWS サービスへの接続を設定する場合に使用します。
VPC エンドポイントは、パブリックインターネットから分離されたネットワークパスを使用する AWS サービスへのプライベート接続を作成します。例えば、独自の VPC から VPC エンドポイントを使用して Amazon S3 へのアクセスを設定する場合、SageMaker Canvas アプリケーションは VPC のネットワークインターフェイスを経由し、次に Amazon S3 に接続する VPC エンドポイントを経由して Amazon S3 にアクセスします。SageMaker Canvas と Amazon S3 の間の通信はプライベートです。
VPC エンドポイントの設定の詳細については、「AWS PrivateLink」を参照してください。VPC を使用した Canvas で Amazon Bedrock モデルを使用している場合、データへのアクセスコントロールの詳細については、「Amazon Bedrock ユーザーガイド」の「PC を使用してジョブを保護する」を参照してください。
SageMaker Canvas で使用できる各サービスの VPC エンドポイントは次のとおりです。
サービス | エンドポイント | エンドポイントタイプ |
---|---|---|
AWS アプリケーションの Auto Scaling |
com.amazonaws. |
インターフェイス |
Amazon Athena |
com.amazonaws. |
インターフェイス |
Amazon SageMaker AI |
com.amazonaws. com.amazonaws. com.amazonaws. |
インターフェイス |
Amazon SageMaker AI データサイエンスアシスタント |
com.amazonaws. |
インターフェイス |
AWS Security Token Service |
com.amazonaws. |
インターフェイス |
Amazon Elastic Container Registry (Amazon ECR) |
com.amazonaws. com.amazonaws. |
インターフェイス |
Amazon Elastic Compute Cloud (Amazon EC2) |
com.amazonaws. |
インターフェイス |
Amazon Simple Storage Service (Amazon S3) |
com.amazonaws. |
ゲートウェイ |
Amazon Redshift |
com.amazonaws. |
インターフェイス |
AWS Secrets Manager |
com.amazonaws. |
インターフェイス |
AWS Systems Manager |
com.amazonaws. |
インターフェイス |
アマゾン CloudWatch |
com.amazonaws. |
インターフェイス |
Amazon CloudWatch Logs |
com.amazonaws. |
インターフェイス |
Amazon Forecast |
com.amazonaws. com.amazonaws. |
インターフェイス |
Amazon Textract |
com.amazonaws. |
インターフェイス |
Amazon Comprehend |
com.amazonaws. |
インターフェイス |
Amazon Rekognition |
com.amazonaws. |
インターフェイス |
AWS Glue |
com.amazonaws. |
インターフェイス |
AWS アプリケーションの Auto Scaling |
com.amazonaws. |
インターフェイス |
Amazon Relational Database Service (Amazon RDS) |
com.amazonaws. |
インターフェイス |
Amazon Bedrock (表の後の注記を参照) |
com.amazonaws. |
インターフェイス |
Amazon Kendra |
com.amazonaws. |
インターフェイス |
Amazon EMR Serverless |
com.amazonaws. |
インターフェイス |
Amazon Q Developer (表の後の注記を参照) |
com.amazonaws. |
インターフェイス |
注記
Amazon Q Developer VPC エンドポイントは現在、米国東部 (バージニア北部) リージョンでのみ使用できます。他のリージョンから接続するには、セキュリティとインフラストラクチャの設定に基づいて、次のいずれかのオプションを選択できます。
NAT ゲートウェイをセットアップします。VPC のプライベートサブネットで NAT ゲートウェイを設定し、Q Developer エンドポイントのインターネット接続を有効にします。詳細については、「VPC プライベートサブネットでの NAT ゲートウェイのセットアップ
」を参照してください。 クロスリージョン VPC エンドポイントアクセスを有効にします。Q Developer のクロスリージョン VPC エンドポイントアクセスを設定します。インターネットアクセスを必要とせずに安全に接続するには、このオプションを使用します。詳細については、「クロスリージョン VPC エンドポイントアクセスの設定
」を参照してください。
注記
Amazon Bedrock では、インターフェイスエンドポイントのサービス名 com.amazonaws.
は廃止されました。上の表に記載されているサービス名で新しい VPC エンドポイントを作成します。Region
.bedrock
さらに、インターネットアクセスのない Canvas VPC から基盤モデルをファインチューニングすることはできません。これは、Amazon Bedrock がモデルカスタマイズ API 向け VPC エンドポイントをサポートしていないためです。Canvas での基盤モデルのファインチューニングの詳細については、「基盤モデルをファインチューニングする」を参照してください。
VPC エンドポイントへの AWS プリンシパルアクセスを制御するには、Amazon S3 のエンドポイントポリシーも追加する必要があります。VPC エンドポイントポリシーを更新する方法については、「Control access to VPC endpoints using endpoint policies」を参照してください。
以下は、使用可能な 2 つの VPC エンドポイントポリシーです。データのインポートやモデルの作成など、Canvas の基本機能へのアクセスのみを許可する場合は、最初のポリシーを使用します。Canvas の追加の生成 AI 機能へのアクセスを許可する場合は、2 番目のポリシーを使用します。
次のポリシーは、Canvas の基本的なオペレーションに必要な VPC エンドポイントへのアクセスを許可します。
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
ステップ 3: IAM 権限を付与する
SageMaker Canvas ユーザーには、VPC エンドポイントへの接続を許可するために必要な AWS Identity and Access Management アクセス許可が必要です。アクセス許可を付与する IAM ロールは、Amazon SageMaker AI ドメインへのオンボーディング時に使用したロールと同じである必要があります。SageMaker AI 管理AmazonSageMakerFullAccess
ポリシーをユーザーの IAM ロールにアタッチして、ユーザーに必要なアクセス許可を付与できます。より制限の厳しい IAM 権限が必要で、代わりにカスタムポリシーを使用する場合は、ユーザーのロールに ec2:DescribeVpcEndpointServices
権限を付与します。SageMaker Canvas では、標準ビルドジョブに必要な VPC エンドポイントがあることを確認するためにこれらの権限が必要です。これらの VPC エンドポイントが検出されると、標準ビルドジョブはデフォルトで VPC で実行されます。それ以外の場合は、デフォルトの AWS マネージド VPC で実行されます。
AmazonSageMakerFullAccess
IAM ポリシーをユーザーの IAM ロールにアタッチする方法については、「Adding and removing IAM identity permissions」を参照してください。
ユーザーの IAM ロールに詳細な ec2:DescribeVpcEndpointServices
権限を付与するには、以下の手順に従います。
にサインイン AWS Management Console し、IAM コンソール
を開きます。 ナビゲーションペインで Roles (ロール) を選択します。
リストで、権限を付与するロールの名前を選択します。
[アクセス許可] タブを選択します。
[アクセス許可を追加]、[インラインポリシーを作成] の順に選択します。
-
[JSON] タブを選択し、
ec2:DescribeVpcEndpointServices
権限を付与する次のポリシーを入力します。{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:DescribeVpcEndpointServices", "Resource": "*" } ] }
[ポリシーの確認] を選択して、ポリシーの [名前] を入力します (例:
VPCEndpointPermissions
)。[Create policy] を選択します。
これで、VPC で設定された VPC エンドポイントにアクセスする権限がユーザーの IAM ロールに付与されました。
(オプション) 手順 4: 特定のユーザーのセキュリティグループ設定を上書きする
管理者はユーザーごとに異なる VPC 設定、またはユーザー固有の VPC 設定が必要な場合があります。特定のユーザーのデフォルト VPC のセキュリティグループ設定を上書きすると、これらの設定はそのユーザーの SageMaker Canvas アプリケーションに渡されます。
Studio Classic で新しいユーザープロファイルを設定する際、特定のユーザーが VPC でアクセスできるセキュリティグループを上書きすることができます。CreateUserProfile SageMaker API コール (または AWS CLI の create_user_profileUserSettings
でそのユーザー用の SecurityGroups
を指定できます。