インターネットアクセスVPCのない で Amazon SageMaker Canvas を設定する - Amazon SageMaker
インターネットアクセスVPCのない で Amazon SageMaker Canvas を設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インターネットアクセスVPCのない で Amazon SageMaker Canvas を設定する

Amazon SageMaker Canvas アプリケーションは、 AWS マネージド Amazon Virtual Private Cloud () のコンテナで実行されますVPC。リソースへのアクセスをさらに制御したり、パブリックインターネットアクセスなしで SageMaker Canvas を実行したりする場合は、Amazon SageMaker ドメインとVPC設定を設定できます。独自の 内でVPC、セキュリティグループ (Amazon EC2インスタンスからのインバウンドトラフィックとアウトバウンドトラフィックを制御する仮想ファイアウォール) やサブネット ( 内の IP アドレスの範囲) などの設定を設定できますVPC。の詳細についてはVPCs、「Amazon VPCの仕組み」を参照してください。

SageMaker Canvas アプリケーションが AWS マネージド で実行されている場合VPC、インターネット接続またはカスタマーマネージド VPC (パブリックインターネットアクセスなし) で作成されたVPCエンドポイントを使用して、他の AWS サービスとやり取りできます。 SageMaker Canvas アプリケーションは、お客様が管理する への接続を提供する Studio Classic が作成したネットワークインターフェイスを介してこれらのVPCエンドポイントにアクセスできますVPC。 SageMaker Canvas アプリケーションのデフォルトの動作は、インターネットアクセスを持つことです。インターネット接続を使用する場合、前述のジョブのコンテナは、トレーニングデータやモデルアーティファクトを保存する Amazon S3 バケットなどの AWS リソースにインターネット経由でアクセスします。

ただし、データコンテナとジョブコンテナへのアクセスを制御するセキュリティ要件がある場合は、データとコンテナがインターネット経由でアクセスできないVPCように SageMaker Canvas と を設定することをお勧めします。 SageMaker は、Canvas のドメインを設定するときに指定したVPC設定 SageMaker を使用します。

インターネットアクセスなしで SageMaker Canvas アプリケーションを設定する場合は、Amazon SageMaker ドメイン にオンボーディングし、VPCエンドポイントを設定し、必要な AWS Identity and Access Management アクセス許可を付与するときにVPC設定を行う必要があります。Amazon VPCで を設定する方法については SageMaker、「」を参照してくださいAmazon を選択する VPC。以下のセクションでは、パブリックインターネットアクセスVPCのない で SageMaker Canvas を実行する方法について説明します。

インターネットアクセスVPCのない で Amazon SageMaker Canvas を設定する

Canvas SageMaker から他の AWS サービスにトラフィックを送信するには、独自の を使用しますVPC。独自の にパブリックインターネットアクセスVPCがなく、ドメインを VPC モードでのみ設定した場合、Canvas SageMaker にはパブリックインターネットアクセスも付与されません。これには、Amazon S3 のデータセットへのアクセスや標準ビルドのトレーニングジョブなどのすべてのリクエストが含まれ、リクエストはパブリックインターネットVPCの代わりに のVPCエンドポイントを経由します。ドメインと にオンボードするときはAmazon を選択する VPC、ドメインVPCのデフォルトVPCとして独自の を指定し、必要なセキュリティグループとサブネット設定を指定することができます。次に、 SageMaker は Canvas SageMaker VPCが のVPCエンドポイントにアクセスするために使用するネットワークインターフェイスを に作成しますVPC。

セキュリティグループ 内のトラフィックを許可するインバウンドルールとアウトバウンドルールVPCを使用して、 に 1 つ以上のセキュリティグループを設定してください。 TCP これは、Jupyter Server アプリケーションと Kernel Gateway アプリケーション間の接続に必要です。範囲 8192-65535 内の最小数のポートへのアクセスを許可する必要があります。また、ユーザープロファイルごとに個別のセキュリティグループを作成し、同じセキュリティグループからのインバウンドアクセスを追加してください。ユーザープロファイルにドメインレベルのセキュリティグループを再使用することはお勧めしません。ドメインレベルのセキュリティグループがそれ自体へのインバウンドアクセスを許可する場合、ドメイン内のすべてのアプリケーションは、ドメイン内の他のすべてのアプリケーションにアクセスできます。セキュリティグループとサブネットの設定は、ドメインへのオンボーディングが終了した後に設定されます。

ドメインへのオンボーディング時に、パブリックインターネットのみをネットワークアクセスタイプとして選択すると、 VPCは SageMaker 管理され、インターネットアクセスを許可します。

この動作は、 が SageMaker指定した で が SageMaker 作成するネットワークインターフェイスにすべてのトラフィックを送信するようにVPCのみ選択することで変更できますVPC。このオプションを選択するときは、 および SageMaker Runtime との SageMaker API通信に必要なサブネット、セキュリティグループ、VPCエンドポイント、および SageMaker Canvas CloudWatchで使用される Amazon S3 や Amazon などのさまざまな AWS サービスを指定する必要があります。同じリージョンにある Amazon S3 バケットからのみデータをインポートできることに注意してくださいVPC。

以下の手順は、インターネットを使用せずに SageMaker Canvas を使用するようにこれらの設定を設定する方法を示しています。

ステップ 1: Amazon SageMaker ドメインへのオンボード

インターネットVPCではなく、独自のネットワークインターフェイスに SageMaker Canvas トラフィックを送信するには、Amazon SageMaker ドメイン へのオンボーディング時にVPC使用する を指定します。また、 VPC SageMaker で使用できるサブネットを少なくとも 2 つ指定する必要があります。ドメインのネットワークとストレージセクションを設定するときは、標準セットアップを選択し、次の手順を実行します。

  1. 目的の を選択しますVPC

  2. 2 つ以上の [サブネット] を選択します。サブネットを指定しない場合、 は 内のすべてのサブネット SageMaker を使用しますVPC。

  3. 1 つ以上の [セキュリティグループ] を選択します。

  4. VPC のみを選択して、Canvas SageMaker VPCがホストされている AWS マネージドで直接インターネットアクセスをオフにします。

インターネットアクセスを無効にしたら、オンボーディングプロセスを完了してドメインを設定します。Amazon SageMaker ドメインVPCの設定の詳細については、「」を参照してくださいAmazon を選択する VPC

ステップ 2: VPCエンドポイントとアクセスを設定する

注記

独自の で Canvas を設定するにはVPC、VPCエンドポイントのプライベートDNSホスト名を有効にする必要があります。詳細については、VPC「インターフェイスエンドポイント SageMaker を介して に接続する」を参照してください。

SageMaker Canvas は、その機能のデータを管理および保存するためにのみ、他の AWS サービスにアクセスします。例えば、ユーザーが Amazon Redshift データベースにアクセスすると、SageMaker Canvas は Amazon Redshift に接続します。インターネット接続またはVPCエンドポイントを使用して Amazon Redshift などの AWS サービスに接続できます。からパブリックインターネットを使用しない AWS サービスVPCへの接続を設定する場合は、VPCエンドポイントを使用します。

VPC エンドポイントは、パブリックインターネットから分離されたネットワークパスを使用する AWS サービスへのプライベート接続を作成します。例えば、独自の のVPCエンドポイントを使用して Amazon S3 へのアクセスを設定するとVPC、 SageMaker Canvas アプリケーションは のネットワークインターフェイスを通過VPCし、Amazon S3 に接続するVPCエンドポイントを通過することで Amazon S3 にアクセスできます。 SageMaker Canvas と Amazon S3 間の通信はプライベートです。

のVPCエンドポイントの設定の詳細についてはVPC、「」を参照してくださいAWS PrivateLink。Canvas で で Amazon Bedrock モデルを使用している場合VPC、データへのアクセスの制御の詳細については、「Amazon Bedrock ユーザーガイド」の「 を使用してジョブを保護するVPC」を参照してください。

SageMaker Canvas で使用できる各サービスのVPCエンドポイントを次に示します。

サービス エンドポイント エンドポイントタイプ

AWS Application Auto Scaling

com.amazonaws。Region.application-autoscaling

インターフェイス

Amazon Athena

com.amazonaws。Regionathena.

インターフェイス

Amazon SageMaker

com.amazonaws。Region.sagemaker.api

com.amazonaws。Region.sagemaker.runtime

com.amazonaws。Region.notebook

インターフェイス

AWS Security Token Service

com.amazonaws。Region.sts

インターフェイス

Amazon Elastic Container Registry (Amazon ECR)

com.amazonaws。Region.ecr.api

com.amazonaws。Region.ecr.dkr

インターフェイス

Amazon Elastic Compute Cloud (Amazon EC2)

com.amazonaws。Regionec2.

インターフェイス

Amazon Simple Storage Service (Amazon S3)

com.amazonaws。Regions3.

ゲートウェイ

Amazon Redshift

com.amazonaws。Region.redshift-data

インターフェイス

AWS Secrets Manager

com.amazonaws。Regionsecretsmanager。

インターフェイス

AWS Systems Manager

com.amazonaws。Regionssm。

インターフェイス

Amazon CloudWatch

com.amazonaws。Region.モニタリング

インターフェイス

Amazon CloudWatch ログ

com.amazonaws。Region.logs

インターフェイス

Amazon Forecast

com.amazonaws。Region.forecast

com.amazonaws。Region.forecastquery

インターフェイス

Amazon Textract

com.amazonaws。Region.textract

インターフェイス

Amazon Comprehend

com.amazonaws。Region.comprehend

インターフェイス

Amazon Rekognition

com.amazonaws。Region.rekognition

インターフェイス

AWS Glue

com.amazonaws。Region.glue

インターフェイス

AWS Application Auto Scaling

com.amazonaws。Region.application-autoscaling

インターフェイス

Amazon Relational Database Service (Amazon RDS)

com.amazonaws。Regionrds。

インターフェイス

Amazon Bedrock

com.amazonaws。Region.bedrock-runtime

インターフェイス

Amazon Kendra

com.amazonaws。Region.kendra

インターフェイス

Amazon EMR Serverless

com.amazonaws。Region.emr サーバーレス

インターフェイス
注記

Amazon Bedrock では、インターフェイスエンドポイントのサービス名 com.amazonaws.Region.bedrock は廃止されました。前の表に記載されているサービス名を使用して新しいVPCエンドポイントを作成します。

さらに、インターネットアクセスなしで Canvas の基盤モデルVPCsを微調整することはできません。これは、Amazon Bedrock がモデルカスタマイズ のVPCエンドポイントをサポートしていないためですAPIs。Canvas での基盤モデルの微調整の詳細については、「」を参照してください基盤モデルを微調整する

また、エンドポイントへの AWS プリンシパルアクセスを制御するには、Amazon S3 のVPCエンドポイントポリシーを追加する必要があります。VPC エンドポイントポリシーを更新する方法については、VPC「エンドポイントポリシー を使用したエンドポイントへのアクセスの制御」を参照してください。

以下は、使用できる 2 つのVPCエンドポイントポリシーです。データのインポートやモデルの作成など、Canvas の基本機能へのアクセスのみを許可する場合は、最初のポリシーを使用します。Canvas の追加の生成 AI 機能へのアクセスを許可する場合は、2 番目のポリシーを使用します。

Basic VPC endpoint policy

次のポリシーは、Canvas の基本的なオペレーションに必要なVPCエンドポイントへのアクセスを許可します。

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }
Generative AI VPC endpoint policy

次のポリシーは、Canvas での基本的なオペレーションに必要なVPCエンドポイントへのアクセスと、生成 AI 基盤モデルの使用を許可します。

        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*",
                "arn:aws:s3:::*fmeval/datasets*",
                "arn:aws:s3:::*jumpstart-cache-prod*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        }

ステップ 3: アクセスIAM許可を付与する

SageMaker Canvas ユーザーは、VPCエンドポイントへの接続を許可するために必要な AWS Identity and Access Management アクセス許可を持っている必要があります。アクセス許可を付与するIAMロールは、Amazon SageMaker ドメインへのオンボーディング時に使用したロールと同じである必要があります。 SageMaker 管理AmazonSageMakerFullAccessポリシーをユーザーのIAMロールにアタッチして、ユーザーに必要なアクセス許可を付与できます。より制限の厳しいIAMアクセス許可が必要で、代わりにカスタムポリシーを使用する場合は、ユーザーのロールに ec2:DescribeVpcEndpointServices アクセス許可を付与します。 SageMaker Canvas では、標準ビルドジョブに必要なVPCエンドポイントが存在することを確認するために、これらのアクセス許可が必要です。これらのVPCエンドポイントを検出すると、標準ビルドジョブはデフォルトで で実行されますVPC。それ以外の場合は、デフォルトの AWS マネージド で実行されますVPC。

AmazonSageMakerFullAccess IAM ポリシーをユーザーIAMロールにアタッチする方法については、IAM「ID アクセス許可の追加と削除」を参照してください。

ユーザーのIAMロールに詳細なec2:DescribeVpcEndpointServicesアクセス許可を付与するには、次の手順を使用します。

  1. にサインイン AWS Management Console し、IAMコンソール を開きます。

  2. ナビゲーションペインで [ロール] を選択します。

  3. リストで、権限を付与するロールの名前を選択します。

  4. [アクセス許可] タブを選択します。

  5. [アクセス許可を追加][インラインポリシーを作成] の順に選択します。

  6. JSON タブを選択し、アクセスec2:DescribeVpcEndpointServices許可を付与する次のポリシーを入力します。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "ec2:DescribeVpcEndpointServices",
            "Resource": "*"
        }
    ]
}

  7. [ポリシーの確認] を選択して、ポリシーの [名前] を入力します (例: VPCEndpointPermissions)。

  8. [Create policy] を選択します。

ユーザーのIAMロールには、 で設定されたVPCエンドポイントにアクセスするアクセス許可が付与されるようになりましたVPC。

(オプション) 手順 4: 特定のユーザーのセキュリティグループ設定を上書きする

管理者の場合は、異なるユーザーに異なるVPC設定、またはユーザー固有のVPC設定を持たせる場合があります。特定のユーザーのデフォルトの VPCのセキュリティグループ設定を上書きすると、これらの設定はそのユーザーの SageMaker Canvas アプリケーションに渡されます。

Studio Classic で新しいユーザープロファイルを設定するVPCときに、特定のユーザーが でアクセスできるセキュリティグループを上書きできます。CreateUserProfile SageMaker API 呼び出し (または で create_user_profileAWS CLI) を使用してUserSettings、 でSecurityGroupsユーザーの を指定できます。