SageMaker 内の に接続する VPC - Amazon SageMaker
VPC インターフェイスエンドポイント SageMaker を介して に接続する内のリソースでの SageMaker トレーニングとホスティングの使用 VPCのVPCエンドポイントポリシーを作成する SageMakerAmazon SageMaker Feature Store のVPCエンドポイントポリシーを作成するプライベートネットワークを に接続する VPC

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SageMaker 内の に接続する VPC

インターネット経由で接続する代わりに、仮想プライベートクラウド (VPC) のインターフェイスエンドポイントを介して、 SageMaker API または Amazon SageMaker Runtime に直接接続できます。VPC インターフェイスエンドポイントを使用する場合、 VPCと APIまたは Runtime SageMaker間の通信は、 AWS ネットワーク内で完全かつ安全に実行されます。

VPC インターフェイスエンドポイント SageMaker を介して に接続する

および SageMaker Runtime SageMaker APIは、 を搭載した Amazon Virtual Private Cloud (Amazon VPC) インターフェイスエンドポイントをサポートしていますAWS PrivateLink。各VPCエンドポイントは、VPCサブネット内のプライベート IP アドレスを持つ 1 つ以上の Elastic Network Interface によって表されます。例えば、 内のアプリケーションは VPC AWS PrivateLink を使用して SageMaker Runtime と通信します。 SageMaker ランタイムはエンドポイントと通信します SageMaker 。 AWS PrivateLink を使用すると、次の図に示すようにVPC、 内から SageMaker エンドポイントを呼び出すことができます。

VPC は AWS PrivateLink を使用して SageMaker エンドポイントと通信します。

VPC インターフェイスエンドポイントは、 SageMaker APIインターネットゲートウェイ、NATデバイス、VPN接続、または AWS Direct Connect 接続を使用 AWS PrivateLink せずに、 を または SageMaker ランタイムVPCに直接接続します。のインスタンスは、 または SageMaker Runtime と SageMaker API通信するためにパブリックインターネットに接続VPCする必要はありません。

SageMaker または SageMaker AWS Management Console AWS Command Line Interface () を使用して、ランタイムに接続する AWS PrivateLink インターフェイスエンドポイントを作成できますAWS CLI。手順については、「インターフェイスVPCエンドポイント を使用して AWS サービスにアクセスする」を参照してください。

VPC エンドポイントのプライベートドメインネームシステム (DNS) ホスト名を有効にしていない場合は、VPCエンドポイント を作成した後、インターネットエンドポイントを SageMaker APIまたは SageMaker Runtime URLに指定します。 AWS CLI コマンドを使用してendpoint-urlパラメータを指定するコード例を次に示します。

aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com

aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com  \
    --endpoint-name Endpoint_Name \
    --body "Endpoint_Body" \
    --content-type "Content_Type" \
            Output_File

VPC エンドポイントのプライベートDNSホスト名を有効にする場合、URLデフォルトのホスト名 (https://api.sagemaker.Region.amazon.com) はVPCエンドポイントに解決されます。同様に、デフォルトの SageMaker ランタイムDNSホスト名 (https://runtime.sagemaker.Region.amazonaws.com) もVPCエンドポイントに解決されます。

と SageMaker Runtime SageMakerは、Amazon VPC SageMaker APIと の両方 AWS リージョン が利用可能なすべての のVPCエンドポイントをサポートします。 は、 Operations内のすべてのエンドポイントへの呼び出し SageMaker をサポートしますVPC。AuthorizedUrl から を使用する場合 
 CreatePresignedNotebookInstanceUrl コマンドを使用すると、トラフィックはパブリックインターネットを通過します。VPC エンドポイントを使用して署名付き にアクセスすることはできません。リクエストURLはインターネットゲートウェイを通過する必要があります。

デフォルトでは、ユーザーは署名付き URLを企業ネットワーク外のユーザーと共有できます。セキュリティを強化するには、ネットワーク内でのみURL使用できる を制限するIAMアクセス許可を追加する必要があります。アクセスIAM許可の詳細については、「 で AWS PrivateLink が機能IAMする方法」を参照してください。

注記

SageMaker Runtime サービス (https://runtime.sagemaker.Region.amazonaws.com) のVPCインターフェイスエンドポイントを設定するときは、プライベートDNS解決が機能するように、クライアントのアベイラビリティーゾーンでVPCインターフェイスエンドポイントが有効になっていることを確認する必要があります。それ以外の場合、 を解決しようとするとDNS失敗することがありますURL。

の詳細については AWS PrivateLink、AWS PrivateLink ドキュメント を参照してください。VPC エンドポイントの料金については、AWS PrivateLink 「料金」を参照してください。VPC および エンドポイントの詳細については、「Amazon VPC」を参照してください。ID ベースの AWS Identity and Access Management ポリシーを使用して SageMaker APIと SageMaker Runtime へのアクセスを制限する方法については、「」を参照してくださいID ベースのポリシーを使用して SageMaker APIへのアクセスを制御する

内のリソースでの SageMaker トレーニングとホスティングの使用 VPC

SageMaker は実行ロールを使用して、トレーニングコンテナまたは推論コンテナとは別にAmazon S3 バケットと Amazon Elastic Container Registry (Amazon ECR) から情報をダウンロードおよびアップロードします。内にリソースがある場合でもVPC、それらのリソース SageMaker へのアクセスを許可できます。以下のセクションでは、ネットワーク分離 SageMaker の有無にかかわらず、 リソースを で使用できるようにする方法を説明します。

ネットワーク分離が有効になっていない場合

トレーニングジョブまたはモデルにネットワーク分離を設定していない場合は、次のいずれかの方法を使用してリソース SageMaker にアクセスできます。

  • SageMaker トレーニングおよびデプロイされた推論コンテナは、デフォルトでインターネットにアクセスできます。 SageMaker コンテナは、トレーニングおよび推論ワークロードの一環として、パブリックインターネット上の外部サービスとリソースにアクセスできます。 SageMaker 次の図に示すように、 コンテナはVPC設定VPCなしで 内のリソースにアクセスできません。

    SageMaker は、VPC設定VPCなしで 内のリソースにアクセスできません。

  • VPC 設定を使用して、Elastic Network Interface () VPCを介して 内のリソースと通信しますENI。次の図に示すように、コンテナと 内のリソース間の通信VPCはVPC、ネットワーク内で安全に行われます。この場合、VPCリソースとインターネットへのネットワークアクセスを管理します。

    SageMaker は、 VPC設定VPCを使用して 内のリソースにアクセスして通信できます。

ネットワーク分離の使用

ネットワーク分離を使用する場合、次の図に示すように、 SageMaker コンテナは 内のリソースと通信VPCしたり、ネットワーク呼び出しを行ったりすることはできません。VPC 設定を指定すると、ダウンロードおよびアップロードオペレーションは を通じて実行されますVPC。の使用中のネットワーク分離によるホスティングとトレーニングの詳細についてはVPC、「」を参照してくださいネットワークの隔離

SageMaker は、 VPC設定VPCを使用して 内のリソースにアクセスして通信できます。

の Amazon VPCエンドポイントのポリシーを作成して SageMaker 、以下を指定できます。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、「Amazon VPCユーザーガイド」のVPC「エンドポイントによるサービスへのアクセスの制御」を参照してください。

注記

VPC エンドポイントポリシーは、 の連邦情報処理標準 (FIPS) SageMaker ランタイムエンドポイントではサポートされていません。 runtime_InvokeEndpoint.

次のVPCエンドポイントポリシーの例では、VPCインターフェイスエンドポイントへのアクセス権を持つすべてのユーザーが、 という名前の SageMaker ホストされたエンドポイントを呼び出すことを許可されていることを指定しますmyEndpoint

{
  "Statement": [
      {
          "Action": "sagemaker:InvokeEndpoint",
          "Effect": "Allow",
          "Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
          "Principal": "*"
      }
  ]
}

この例では、以下が拒否されます。

  • sagemaker:CreateEndpoint や などのその他の SageMaker APIアクションsagemaker:CreateTrainingJob

  • 以外の SageMaker ホストされたエンドポイントを呼び出すmyEndpoint

注記

この例では、ユーザーは の外部から他の SageMaker APIアクションを実行できますVPC。内からのAPI呼び出しを制限する方法についてはVPC、「」を参照してくださいID ベースのポリシーを使用して SageMaker APIへのアクセスを制御する

Amazon SageMaker Feature Store 用のVPCエンドポイントを作成するには、次のエンドポイントテンプレートを使用して、VPC_Endpoint_ID.api また、Region:

VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com

および SageMaker Runtime を 経由で呼び SageMaker API出すにはVPC、 内にあるインスタンスから に接続するVPCか、 AWS Virtual Private Network (AWS VPN) または VPCを使用してプライベートネットワークを に接続する必要があります AWS Direct Connect。の詳細については AWS VPN、VPN「Amazon Virtual Private Cloud ユーザーガイド」の「接続」を参照してください。 Amazon Virtual Private Cloud の詳細については AWS Direct Connect、AWS Direct Connect ユーザーガイド「接続の作成」を参照してください。