Studio とデータソース間のネットワークアクセスを設定する (管理者向け) - Amazon SageMaker
Studio とデータストアは別個に VPCsStudio と同じ のデータストア VPCStudio とデータストアがパブリックインターネット経由で通信する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Studio とデータソース間のネットワークアクセスを設定する (管理者向け)

このセクションでは、管理者がプライベート Amazon 内VPCまたはインターネット経由で Amazon SageMaker Studio と Amazon Redshift または Amazon Athena間の通信を有効にするようにネットワークを設定する方法について説明します。ネットワーク手順は、Studio ドメインとデータストアがプライベート Amazon Virtual Private Cloud (VPC) 内にデプロイされているか、インターネット経由で通信しているかによって異なります。

デフォルトでは、Studio はインターネットアクセス VPC で AWS 管理された で実行されます。インターネット接続を使用する場合、Studio はインターネット経由で Amazon S3 バケットなどの AWS リソースにアクセスします。ただし、データコンテナとジョブコンテナへのアクセスを制御するセキュリティ要件がある場合は、データコンテナがインターネット経由でアクセスできないように Studio とデータストア (Amazon Redshift または Athena) を設定することをお勧めします。リソースへのアクセスを制御するか、パブリックインターネットアクセスなしで Studio を実行するには、Amazon SageMaker ドメイン にオンボードするときにVPC onlyネットワークアクセスタイプを指定できます。このシナリオでは、Studio はプライベートVPCエンドポイント を介して他の AWS サービスとの接続を確立します。Studio を VPC only モードで設定する方法については、「 の外部リソースに Studio を接続するVPC」を参照してください。

注記

Snowflake に接続するには、Studio ドメインVPCの にインターネットアクセスが必要です。

最初の 2 つのセクションでは、パブリックインターネットアクセスVPCsなしで Studio ドメインと のデータストア間の通信を確保する方法について説明します。最後のセクションでは、インターネット接続を使用して Studio とデータストア間の通信を確保する方法について説明します。Studio とデータストアをインターネットアクセスなしで接続する前に、Amazon Simple Storage Service、Amazon Redshift または Athena、および Amazon CloudWatch SageMaker AWS CloudTrail と (ログ記録とモニタリング) のエンドポイントを確立してください。

Studio とデータストアは個別にデプロイされます VPCs

Studio と異なる にデプロイされたデータストア間の通信を許可するにはVPCs:

  1. まず、VPCピアリング接続VPCsを介して を接続します。

  2. Studio サブネットとデータストアサブネット間の双方向ネットワークトラフィックを許可するVPCには、各 のルーティングテーブルを更新します。

  3. インバウンドおよびアウトバウンドのトラフィックを許可するようにセキュリティグループを設定します。

Studio とデータストアが 1 つの AWS アカウントにデプロイされているか、異なる AWS アカウントにデプロイされているかにかかわらず、設定ステップは同じです。

  1. VPC ピアリング

    VPC ピアリング接続を作成して、2 つの VPCs (Studio とデータストア) 間のネットワークを容易にします。

    1. Studio アカウントから、VPCダッシュボードでピアリング接続 を選択し、ピアリング接続 を作成します

    2. Studio をデータストア VPCとピアリングするリクエストを作成しますVPC。別の AWS アカウントでピアリングをリクエストする場合は、 とピアリングする別のアカウントを選択 で別のアカウントを選択します。 VPC

      クロスアカウントピアリングの場合、管理者はSQLエンジンアカウントからのリクエストを受け入れる必要があります。

      プライベートサブネットをピアリングする場合は、VPCピアリング接続レベルでプライベート IP DNS解決を有効にする必要があります。

  2. ルーティングテーブル

    Studio とデータストアVPCサブネット間のネットワークトラフィックを両方向に許可するようにルーティングを設定します。

    ピアリング接続を確立すると、管理者 (クロスアカウントアクセスの各アカウント) はプライベートサブネットルートテーブルにルートを追加して、Studio とデータストアVPCsのサブネット間のトラフィックをルーティングできます。これらのルートは、VPCVPCダッシュボードの各 のルートテーブルセクションに移動して定義できます。

  3. セキュリティグループ

    最後に、Studio のドメインのセキュリティグループはアウトバウンドトラフィックVPCを許可し、データストアのセキュリティグループは Studio のセキュリティVPCグループからのデータストアポートのインバウンドトラフィックを許可VPCする必要があります。

Studio とデータストアが同じ にデプロイされます VPC

Studio とデータストアが同じ 内の異なるプライベートサブネットにある場合はVPC、各プライベートサブネットのルートテーブルにルートを追加します。ルートでは、Studio サブネットとデータストアサブネット間でトラフィックが流れるようにする必要があります。これらのルートは、VPCVPCダッシュボードの各 のルートテーブルセクションに移動して定義できます。Studio とデータストアを同じサブネットVPCと同じサブネットにデプロイした場合、トラフィックをルーティングする必要はありません。

ルーティングテーブルの更新に関係なく、Studio のドメインのセキュリティグループはアウトバウンドトラフィックVPCを許可し、データストアのセキュリティグループは Studio VPCのセキュリティグループからのポートのインバウンドトラフィックを許可VPCする必要があります。

Studio とデータストアがパブリックインターネット経由で通信する

デフォルトでは、Studio は、Studio ドメインVPCに関連付けられた のインターネットゲートウェイを介したインターネットとの通信を許可するネットワークインターフェイスを提供します。パブリックインターネット経由でデータストアに接続する場合は、データストアがポートのインバウンドトラフィックを受け入れる必要があります。

NAT 複数のプライベートサブネット内のインスタンスがインターネットにアクセスする際にインターネットゲートウェイによって提供される単一のパブリック IP アドレスを共有できるようにするにはVPCs、ゲートウェイを使用する必要があります。

注記

インバウンドトラフィック用に開かれた各ポートは、潜在的なセキュリティリスクを表します。カスタムセキュリティグループを注意深く確認して、脆弱性を最小限に抑えます。