の Amazon SageMaker Studio VPCを外部リソースに接続する - Amazon SageMaker
インターネットとのデフォルトの通信インターネットとの VPC only 通信

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の Amazon SageMaker Studio VPCを外部リソースに接続する

重要

2023 年 11 月 30 日現在、以前の Amazon SageMaker Studio エクスペリエンスは Amazon SageMaker Studio Classic と名付けられています。以下のセクションは、更新された Studio エクスペリエンスの使用に固有のものです。Studio Classic アプリケーションの使用については、「」を参照してくださいAmazon SageMaker Studio Classic

次のトピックでは、 の Amazon SageMaker Studio をVPC外部リソースに接続する方法について説明します。

インターネットとのデフォルトの通信

デフォルトでは、Amazon SageMaker Studio は によってVPC管理される を介してインターネットとの通信を許可するネットワークインターフェイスを提供します SageMaker。Amazon S3 や などの AWS サービスへのトラフィック CloudWatch は、 API や SageMaker ランタイムにアクセスするトラフィックと同様に、インターネットゲートウェイを通過します SageMaker。ドメインと Amazon EFSボリューム間のトラフィックは、ドメインへのオンボーディング時または CreateDomain の呼び出し時にVPC指定した を通過しますAPI。

インターネットとの VPC only 通信

Studio にインターネットアクセスを提供 SageMaker できないようにするには、Studio へのオンボーディング時または CreateDomain を呼び出すときにVPC onlyネットワークアクセスタイプを指定することで、インターネットアクセスを無効にすることができますAPI。そのため、 に SageMaker APIおよび ランタイムへのインターフェイスエンドポイント、またはインターネットアクセスを備えたNATゲートウェイVPCがあり、セキュリティグループがアウトバウンド接続を許可しない限り、Studio を実行することはできません。

注記

ネットワークアクセスタイプは、update-domain コマンドの --app-network-access-typeパラメータを使用して、ドメインの作成後に変更できます。

VPC only モードを使用するための要件

VpcOnly を選択した場合は、次の手順に従います。

  1. プライベートサブネットのみを使用する必要があります。パブリックサブネットは、VpcOnly モードでは使用できません。

  2. サブネットに必要な IP アドレス数があることを確認してください。ユーザー 1 人あたりに必要な IP アドレスの数は、ユースケースによって異なる場合があります。ユーザー 1 人につき 2~4 個の IP アドレスを推奨します。ドメインの合計 IP アドレス容量は、ドメインの作成時に提供されるサブネットごとに使用可能な IP アドレスの合計です。予想される IP アドレスの使用数が、指定するサブネットの数でサポートされる数を超えないようにしてください。また、多数のアベイラビリティーゾーンに分散されたサブネットを使用すると、IP アドレスの可用性を高めることができます。詳細については、VPC「」および「 のサブネットサイズIPv4」を参照してください。

    注記

    インスタンスが共有ハードウェアVPCで実行されるデフォルトのテナンシーを持つサブネットのみを設定できます。のテナンシー属性の詳細についてはVPCs、「専有インスタンス」を参照してください。

  3. 警告

    VpcOnly モードを使用すると、ドメインのネットワーク設定の一部を所有することになります。セキュリティのベストプラクティスとして、セキュリティグループのルールが提供するインバウンドアクセスとアウトバウンドアクセスに最小特権のアクセス許可を適用することをお勧めします。過度に許容されたインバウンドルール設定により、 へのアクセス権を持つユーザーが、認証なしで他のユーザープロファイルのアプリケーションとやり取りVPCできるようになります。

    以下のトラフィックを許可するインバウンドルールとアウトバウンドルールを使用して、1 つ以上のセキュリティグループを設定します。

    ユーザープロファイルごとに個別のセキュリティグループを作成し、同じセキュリティグループからのインバウンドアクセスを追加します。ドメインレベルのセキュリティグループをユーザープロファイルに再利用することはお勧めしません。ドメインレベルのセキュリティグループがそれ自体へのインバウンドアクセスを許可すると、ドメイン内のすべてのアプリケーションがドメイン内の他のすべてのアプリケーションにアクセスできるようになります。

  4. インターネットアクセスを許可する場合は、インターネットNATゲートウェイ など、インターネットにアクセスできるゲートウェイを使用する必要があります。

  5. インターネットアクセスを許可しない場合は、インターフェイスVPCエンドポイント () を作成して、Studio が対応するサービス名を使用して次のサービスにアクセスできるようにします。AWS PrivateLinkまた、 のセキュリティグループをこれらのエンドポイントVPCに関連付ける必要があります。

    • SageMaker API : com.amazonaws.region.sagemaker.api.

    • SageMaker ランタイム: com.amazonaws.region.sagemaker.runtime。Studio ノートブックを実行し、モデルをトレーニングおよびホストするために必要です。

    • Amazon S3: com.amazonaws.region.s3

    • SageMaker プロジェクト: com.amazonaws.region.servicecatalog

    • SageMaker Studio: aws.sagemaker.region.studio

    • 必要なその他の AWS サービス。

    SageMaker Python SDK を使用してリモートトレーニングジョブを実行する場合は、次の Amazon VPCエンドポイントも作成する必要があります。

    • AWS Security Token Service: com.amazonaws.region.sts

    • Amazon CloudWatch: com.amazonaws.region.logs。 これは、 SageMaker Python SDKが からリモートトレーニングジョブのステータスを取得できるようにするために必要です Amazon CloudWatch。

  6. オンプレミスネットワークから VpcOnly モードでドメインを使用する場合は、ブラウザで Studio を実行しているホストのネットワークとターゲット Amazon からプライベート接続を確立しますVPC。Studio UI は一時的な AWS 認証情報を使用したAPI呼び出しを使用して AWS エンドポイントを呼び出すため、これは必要です。これらの一時的な認証情報は、ログに記録されたユーザープロファイルの実行ロールに関連付けられます。ドメインがオンプレミスネットワークで VpcOnly モードで設定されている場合、実行ロールは、設定された Amazon VPCエンドポイントを介してのみ AWS サービスAPI呼び出しを実行するIAMポリシー条件を定義する場合があります。これにより、Studio UI から実行されるAPI呼び出しが失敗します。これを解決するには、 AWS Site-to-Site VPNまたは AWS Direct Connect接続を使用することをお勧めします。

注記

VPC モード内で作業している顧客の場合、会社のファイアウォールは Studio またはアプリケーションとの接続の問題を引き起こす可能性があります。ファイアウォールの背後から Studio を使用する際に、これらの問題のいずれかが発生した場合は、次のチェックを行います。

  • Studio URLとURLsすべてのアプリケーションがネットワークの許可リストに含まれていることを確認します。例:

    *.studio.region.sagemaker.aws
*.console.aws.a2z.com

  • ウェブソケット接続がブロックされていないことを確認します。Jupyter はウェブソケットを使用します。

詳細情報