翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# VPC 内から Amazon SageMaker AI リソースに接続する
<a name="infrastructure-connect-to-resources"></a>

**重要**  
以下の情報は、Amazon SageMaker Studio と Amazon SageMaker Studio Classic の両方に適用されます。VPC 内のリソースに接続するのと同じ概念が、Studio と Studio Classic の両方に適用されます。

Amazon SageMaker Studio と SageMaker AI ノートブックインスタンスは、直接インターネットアクセスをデフォルトで許可します。SageMaker AI を使用すると、一般的なパッケージやノートブックをダウンロードして、開発環境をカスタマイズし、効率的に作業をを進められます。ただし、これはデータへの不正アクセスの発生可能性につながる恐れがあります。例えば、一般的に利用可能なノートブックや一般公開されているソースコードライブラリの形式でコンピュータに悪意のあるコードをインストールすると、データがアクセスされることがあります。Amazon SageMaker Studio と SageMaker AI ノートブックインスタンスを、任意の [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) で起動すると、インターネットにアクセスできるトラフィックを制限できます。

Amazon Virtual Private Cloud は、 AWS アカウント専用の仮想ネットワークです。Amazon VPC を使用すると、Studio とノートブックインスタンスのネットワークアクセスとインターネット接続を制御できます。直接インターネットアクセスを無効にすると、セキュリティをさらに強化することができます。

以下のトピックでは、Studio インスタンスとノートブックインスタンスを VPC 内のリソースに接続する方法について説明します。

**Topics**
+ [VPC 内の Amazon SageMaker Studio ノートブックを外部リソースに接続する](studio-updated-and-internet-access.md)
+ [VPC 内の Studio ノートブックを外部リソースに接続する](studio-notebooks-and-internet-access.md)
+ [VPC 内のノートブックインスタンスを外部リソースに接続する](appendix-notebook-and-internet-access.md)

# VPC 内の Amazon SageMaker Studio ノートブックを外部リソースに接続する
<a name="studio-updated-and-internet-access"></a>

**重要**  
2023 年 11 月 30 日以降、従来の Amazon SageMaker Studio のエクスペリエンスは Amazon SageMaker Studio Classic と名前が変更されました。以下のセクションは、更新後の Studio のエクスペリエンスに沿った内容になっています。Studio Classic アプリケーションを使用する場合は、「[Amazon SageMaker Studio Classic](studio.md)」を参照してください。

次のトピックでは、VPC 内の Amazon SageMaker Studio ノートブックを外部リソースに接続する方法について説明します。

**Topics**
+ [インターネットとのデフォルトの通信](#studio-notebooks-and-internet-access-default-setting)
+ [インターネットとの `VPC only` 通信](#studio-notebooks-and-internet-access-vpc-only)

## インターネットとのデフォルトの通信
<a name="studio-notebooks-and-internet-access-default-setting"></a>

Amazon SageMaker Studio はデフォルトで、SageMaker AI が管理する VPC を介してインターネットと通信するネットワークインターフェイスをデフォルトで提供しています。Amazon S3 や CloudWatch などの AWS サービスへのトラフィックは、SageMaker AI API や SageMaker AI ランタイムにアクセスするトラフィックと同様に、インターネットゲートウェイを通過します。ドメインと Amazon EFS ボリューム間のトラフィックは、ドメインにオンボーディングした際に指定した VPC 、または [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) API を呼び出した際に指定した VPC を経由します。

## インターネットとの `VPC only` 通信
<a name="studio-notebooks-and-internet-access-vpc-only"></a>

SageMaker AI の Studio ノートブックへのインターネットアクセスの提供を回避するには、[Studio にオンボードする](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html)際、または [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) API を呼び出す際に `VPC only` ネットワークアクセスタイプを指定して、インターネットアクセスを無効にできます。その結果、VPC に SageMaker とランタイムへのインターフェイス エンドポイント、またはインターネットにアクセスできる NAT ゲートウェイが配置され、セキュリティグループでアウトバウンド接続が許可されていない限り、Studio を実行できなくなります。

**注記**  
ドメイン作成後に、[update-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sagemaker/update-domain.html) コマンドの `--app-network-access-type` パラメータを使用して、ネットワークアクセスタイプを変更できます。

### `VPC only` モードを使用するための要件
<a name="studio-notebooks-and-internet-access-vpc-only-requirements"></a>

`VpcOnly` を選択した場合は、次の手順に従います。

1. プライベートサブネットのみを使用する必要があります。パブリックサブネットは、`VpcOnly` モードでは使用できません。

1. サブネットに必要な IP アドレス数があることを確認してください。ユーザー 1 人あたりに必要な IP アドレスの数は、ユースケースによって異なる場合があります。ユーザー 1 人につき 2～4 個の IP アドレスを推奨します。ドメインの IP アドレス数の合計は、ドメインの作成時に提供された各サブネットで使用可能な IP アドレスの合計です。予想される IP アドレスの使用数が、指定するサブネットの数でサポートされる数を超えないようにしてください。また、多数のアベイラビリティーゾーンに分散されたサブネットを使用すると、IP アドレスの可用性を高めることができます。詳細については、「[IPv4 用の VPC とサブネットのサイズ設定](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4)」を参照してください。
**注記**  
デフォルトのテナンシー VPC でのみサブネットを設定できます。このデフォルトでは、インスタンスが共有ハードウェアで実行されます。VPC のテナンシー属性の詳細については、「[ハードウェア専有インスタンス](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)」を参照してください。

1. 
**警告**  
`VpcOnly` モードを使用すると、ドメインのネットワーク設定の一部を所有することになります。セキュリティのベストプラクティスとして、セキュリティグループのルールが提供するインバウンドアクセスとアウトバウンドアクセスに最小特権のアクセス許可を適用することをお勧めします。過度に許可されるインバウンドルール設定では、VPC にアクセスできるユーザーが認証なしで他のユーザープロファイルのアプリケーションとやり取りできる可能性があります。

   以下のトラフィックを許可するインバウンドルールとアウトバウンドルールを使用して、1 つ以上のセキュリティグループを設定します。
   + [ポート 2049 での TCP 経由の NFS トラフィック](https://docs.aws.amazon.com/efs/latest/ug/network-access.html)。ドメインと Amazon EFS ボリューム間のトラフィックです。
   + [セキュリティグループ内の TCP トラフィック](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances)。これは Jupyter Server アプリケーションと Kernel Gateway アプリケーションの間の接続に必要です。範囲 `8192-65535` 内の最小数のポートへのアクセスを許可する必要があります。

   ユーザープロファイルごとに個別のセキュリティグループを作成し、同じセキュリティグループからのインバウンドアクセスを追加します。ドメインレベルのセキュリティグループをユーザープロファイルに再利用することはお勧めしません。ドメインレベルのセキュリティグループがそれ自体へのインバウンドアクセスを許可すると、ドメイン内のすべてのアプリケーションがドメイン内の他のすべてのアプリケーションにアクセスできるようになります。

1. インターネットアクセスを許可する場合は、[インターネットゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)などを経由してインターネットにアクセスできる [NAT ゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with)を使用する必要があります。

1. インターネットアクセスを許可しない場合は、[インターフェイス VPC エンドポイント (PrivateLink) を作成して](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)、Studio が対応するサービス名で次のサービスにアクセスできるようにします。AWS PrivateLink また、VPC のセキュリティグループをこれらのエンドポイントに関連付ける必要があります。
   + SageMaker API: `com.amazonaws.region.sagemaker.api` 
   + SageMaker AI runtime: `com.amazonaws.region.sagemaker.runtime`。これは、エンドポイント呼び出しを実行するために必要です。
   + Amazon S3: `com.amazonaws.region.s3`。
   + SageMaker プロジェクト: `com.amazonaws.region.servicecatalog`
   + SageMaker Studio: `aws.sagemaker.region.studio`
   + 必要なその他の AWS サービス。

    [SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable/) を使用してリモートトレーニングジョブを実行する場合は、次の Amazon VPC エンドポイントも作成する必要があります。
   + AWS Security Token Service: `com.amazonaws.region.sts`
   + Amazon CloudWatch: `com.amazonaws.region.logs`。 これは、SageMaker Python SDK がリモートトレーニングジョブのステータスを取得できるようにするために必要です Amazon CloudWatch。

1. オンプレミスネットワークからドメインを `VpcOnly` モードで使用する場合は、ブラウザで Studio を実行しているホストのネットワークとターゲット Amazon VPC からプライベート接続を確立します。これは、Studio UI が一時的な AWS 認証情報で API コールを使用して AWS エンドポイントを呼び出すために必要です。これらの一時的な認証情報は、ログインしたユーザープロファイルの実行ロールに関連付けられています。ドメインがオンプレミスネットワークで `VpcOnly` モードで設定されている場合、実行ロールは、設定された Amazon VPC エンドポイントを介してのみ AWS サービス API コールの実行を強制する IAM ポリシー条件を定義する場合があります。これにより、Studio UI から実行される API コールが失敗します。これを解決するには、[AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) または [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 接続を使用することをお勧めします。

**注記**  
VPC モードで作業している場合、会社のファイアウォールによって Studio またはアプリケーションとの接続に問題が発生する場合があります。ファイアウォールの背後から Studio を使用している際にこれらの問題のいずれかが発生した場合は、次の点を確認してください。  
Studio URL とすべてのアプリケーションの URL がネットワークの許可リストに含まれていることを確認します。例えば、次のようになります。  

  ```
  *.studio.region.sagemaker.aws
  *.console.aws.a2z.com
  ```
Websocket 接続がブロックされていないことを確認します。Jupyter は Websocket を使用します。

**詳細情報**
+ [VPC のセキュリティグループ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [VPC 内で SageMaker AI に接続する](interface-vpc-endpoint.md)
+ [パブリックサブネットとプライベートサブネットを持つ VPC (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)

# VPC 内の Studio ノートブックを外部リソースに接続する
<a name="studio-notebooks-and-internet-access"></a>

次のトピックでは、VPC 内の Studio ノートブックを外部リソースに接続する方法について説明します。

## インターネットとのデフォルトの通信
<a name="studio-notebooks-and-internet-access-default"></a>

SageMaker Studio は、SageMaker AI が管理する VPC を介してインターネットと通信するネットワークインターフェイスをデフォルトで提供しています。Amazon S3 や CloudWatch などの AWS サービスへのトラフィックは、インターネットゲートウェイを通過します。SageMaker API と SageMaker AI ランタイムにアクセスするトラフィックもインターネットゲートウェイを経由します。ドメインと Amazon EFS ボリューム間のトラフィックは、Studio にオンボーディングした際、または [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) API を呼び出した際に指定した VPC を経由します。デフォルト設定は以下の図のようになります。

![\[インターネットへの直接アクセスの使用を描いた SageMaker Studio VPC の図\]](http://docs.aws.amazon.com/ja_jp/sagemaker/latest/dg/images/studio/studio-vpc-internet.png)


## インターネットとの `VPC only` 通信
<a name="studio-notebooks-and-internet-access-vpc"></a>

SageMaker AI が Studio ノートブックにインターネットアクセスを提供しないようにするには、`VPC only` ネットワークアクセスタイプを指定してインターネットアクセスを無効にします。[Studio にオンボードする](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html)際、または [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) API を呼び出す際に、このネットワークアクセスタイプを指定します。これにより、次の条件を満たさない限り、Studio ノートブックを実行できなくなります。
+ VPC に SageMaker API とランタイムへのインターフェイスエンドポイントがあるか、インターネットにアクセスできる NAT ゲートウェイがある
+ セキュリティグループでアウトバウンド接続が許可されている

次の図は、VPC 専用モードを使用するための設定を示しています。

![\[VPC 専用モードの使用を描いた SageMaker Studio VPC の図\]](http://docs.aws.amazon.com/ja_jp/sagemaker/latest/dg/images/studio/studio-vpc-private.png)


### `VPC only` モードを使用するための要件
<a name="studio-notebooks-and-internet-access-vpc-requirements"></a>

`VpcOnly` を選択した場合は、次の手順に従います。

1. プライベートサブネットのみを使用する必要があります。パブリックサブネットは、`VpcOnly` モードでは使用できません。

1. サブネットに必要な IP アドレス数があることを確認してください。ユーザー 1 人あたりに必要な IP アドレスの数は、ユースケースによって異なる場合があります。ユーザー 1 人につき 2～4 個の IP アドレスを推奨します。Studio ドメインの合計 IP アドレス数は、ドメインの作成時に提供された各サブネットで使用可能な IP アドレスの合計です。IP アドレスの使用量が、提供したサブネットの数でサポートされる容量を超えないように注意します。さらに、多数のアベイラビリティゾーンに分散されたサブネットを使用すると、IP アドレスの可用性が向上します。詳細については、「[IPv4 用の VPC とサブネットのサイズ設定](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#vpc-sizing-ipv4)」を参照してください。
**注記**  
デフォルトのテナンシー VPC でのみサブネットを設定できます。このデフォルトでは、インスタンスが共有ハードウェアで実行されます。VPC のテナンシー属性の詳細については、「[ハードウェア専有インスタンス](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)」を参照してください。

1. 
**警告**  
`VpcOnly` モードを使用すると、ドメインのネットワーク設定の一部を所有することになります。セキュリティのベストプラクティスとして、セキュリティグループのルールが提供するインバウンドアクセスとアウトバウンドアクセスに最小特権のアクセス許可を適用することをお勧めします。過度に許可されるインバウンドルール設定では、VPC にアクセスできるユーザーが認証なしで他のユーザープロファイルのアプリケーションとやり取りできる可能性があります。

   以下のトラフィックを許可するインバウンドルールとアウトバウンドルールを使用して、1 つ以上のセキュリティグループを設定します。
   + [ポート 2049 での TCP 経由の NFS トラフィック](https://docs.aws.amazon.com/efs/latest/ug/network-access.html)。ドメインと Amazon EFS ボリューム間のトラフィックです。
   + [セキュリティグループ内の TCP トラフィック](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances)。これは Jupyter Server アプリケーションと Kernel Gateway アプリケーションの間の接続に必要です。範囲 `8192-65535` 内の最小数のポートへのアクセスを許可する必要があります。

   ユーザープロファイルごとに個別のセキュリティグループを作成し、同じセキュリティグループからのインバウンドアクセスを追加します。ドメインレベルのセキュリティグループをユーザープロファイルに再利用することはお勧めしません。ドメインレベルのセキュリティグループがそれ自体へのインバウンドアクセスを許可すると、ドメイン内のすべてのアプリケーションがドメイン内のその他のすべてのアプリケーションにアクセスできるようになります。

1. インターネットアクセスを許可する場合は、[インターネットゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)などを経由してインターネットにアクセスできる [NAT ゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with)を使用する必要があります。

1. インターネットアクセスを削除するには、[インターフェイス VPC エンドポイント (PrivateLink) を作成して](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)、Studio が対応するサービス名で次のサービスにアクセスできるようにします。AWS PrivateLink また、VPC のセキュリティグループをこれらのエンドポイントに関連付ける必要があります。
   + SageMaker API : `com.amazonaws.region.sagemaker.api` 
   + SageMaker AI runtime: `com.amazonaws.region.sagemaker.runtime`。Studio ノートブックを実行し、モデルをトレーニングおよびホストするために必要です。
   + Amazon S3: `com.amazonaws.region.s3`。
   + SageMaker プロジェクトを使用する場合: `com.amazonaws.region.servicecatalog`。
   + 必要なその他の AWS サービス。

    [SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable/) を使用してリモートトレーニングジョブを実行する場合は、次の Amazon VPC エンドポイントも作成する必要があります。
   + AWS Security Token Service: `com.amazonaws.region.sts`
   + Amazon CloudWatch: `com.amazonaws.region.logs`。 これは、SageMaker Python SDK がリモートトレーニングジョブのステータスを取得できるようにするために必要です Amazon CloudWatch。

**注記**  
VPC モードで顧客が作業する場合、会社のファイアウォールが原因となって SageMaker Studio または JupyterServer と KernelGateway 間に接続の問題が発生する場合があります。ファイアウォールの背後から SageMaker Studio を使用している際にこれらの問題のいずれかが発生した場合は、次の点を確認してください。  
Studio URL がネットワーク許可リストに含まれていることをチェックする。
WebSocket 接続がブロックされていないことをチェックする。WebSocket は Jupyter 内部で使用されます。KernelGateway アプリケーションが InService になっていると、JupyterServer が KernelGateway に接続できない場合があります。この問題は、システムターミナルが開いている場合にも発生します。

**詳細情報**
+ [プライベート VPC を使用して Amazon SageMaker Studio の接続を保護する](https://aws.amazon.com/blogs/machine-learning/securing-amazon-sagemaker-studio-connectivity-using-a-private-vpc)
+ [VPC のセキュリティグループ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
+ [VPC 内で SageMaker AI に接続する](interface-vpc-endpoint.md)
+ [パブリックサブネットとプライベートサブネットを持つ VPC (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)

# VPC 内のノートブックインスタンスを外部リソースに接続する
<a name="appendix-notebook-and-internet-access"></a>

次のトピックでは、VPC 内のノートブックインスタンスを外部リソースに接続する方法について説明します。

## インターネットとのデフォルトの通信
<a name="appendix-notebook-and-internet-access-default"></a>

ノートブックが*直接インターネットアクセス*を許可する場合、SageMaker AI は、SageMaker AI が管理する VPC を介してノートブックがインターネットと通信できるようにするネットワークインターフェイスを提供します。VPC の CIDR 内のトラフィックは、VPC で作成された Elastic Network Interface を経由します。その他すべてのトラフィックは、SageMaker AI が作成したネットワークインターフェイスを経由します。これは、基本的にパブリックインターネットを介して行われます。Amazon S3 や DynamoDB などのゲートウェイ VPC エンドポイントへのトラフィックは、パブリックインターネットを通過しますが、インターフェイス VPC エンドポイントへのトラフィックは引き続き VPC を通過します。ゲートウェイ VPC エンドポイントを使用する場合は、直接インターネットアクセスを無効にすることもできます。

## インターネットとの VPC のみの通信
<a name="appendix-notebook-and-internet-access-default-vpc"></a>

直接インターネットアクセスを無効にするには、ノートブックインスタンスの VPC を指定します。これにより、SageMaker AI は、ノートブックインスタンスへのインターネットアクセスを提供できなくなります。その結果、VPC にインターフェイスエンドポイント (AWS PrivateLink) または NAT ゲートウェイがあり、セキュリティグループでアウトバウンド接続が許可されている場合を除き、ノートブックインスタンスはモデルをトレーニングまたはホストできません。

ノートブックインスタンスに使用する VPC インターフェイスエンドポイントの作成については、 AWS PrivateLink 「」を参照してください[VPC インターフェイスエンドポイントを介してノートブックインスタンスに接続する](notebook-interface-endpoint.md)。VPC 用の NAT ゲートウェイのセットアップについては、*Amazon VPC ユーザーガイド*の「[パブリックサブネットとプライベートサブネットを持つ VPC (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-example-private-subnets-nat.html)」を参照してください。セキュリティグループについては、「[VPC のセキュリティグループ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html)」を参照してください。各ネットワークモードでのネットワーク設定およびオンプレミスのネットワーク設定の詳細については、「[Amazon SageMaker ノートブックインスタンスのネットワーク設定と高度なルーティングオプションについて理解する](https://aws.amazon.com/blogs/machine-learning/understanding-amazon-sagemaker-notebook-instance-networking-configurations-and-advanced-routing-options/)」を参照してください。

**警告**  
ノートブックインスタンスに VPC を使用する場合、インスタンスのネットワーク設定を部分的に所有することになります。セキュリティのベストプラクティスとして、セキュリティグループのルールが提供するインバウンドアクセスとアウトバウンドアクセスに最小権限のアクセス許可を適用することをお勧めします。過剰なアクセス許可を付与するインバウンドルール設定を適用すると、VPC にアクセスできるユーザーは、認証を必要とせずに Jupyter Notebooks にアクセスできてしまいます。

## セキュリティと共有ノートブックインスタンス
<a name="appendix-notebook-and-single-user"></a>

SageMaker ノートブックインスタンスは、個々のユーザーに対して最適に動作するように設計されています。データサイエンティストやその他のユーザーが開発環境の管理に最大限の能力を発揮できるように設計されています。

ノートブックインスタンスユーザーには、パッケージとその他の関連ソフトウェアをインストールするためのルートアクセス権があります。機密情報を含む、VPC にアタッチされたノートブックインスタンスへのアクセス権を個々のユーザーに付与する際には、適切な判断を行うことをお勧めします。例えば、次の例に示されるとおり、署名済みノートブック URL を作成するアクセス権をユーザーに付与することで、IAM ポリシーを使用してノートブックインスタンスへのアクセス権をユーザーに付与できます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
            "Resource": "arn:aws:sagemaker:us-east-1:111122223333:notebook-instance/myNotebookInstance"
        }
    ]
}
```

------