翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# VPC 内の Studio ノートブックを外部リソースに接続する
<a name="studio-notebooks-and-internet-access"></a>

次のトピックでは、VPC 内の Studio ノートブックを外部リソースに接続する方法について説明します。

## インターネットとのデフォルトの通信
<a name="studio-notebooks-and-internet-access-default"></a>

SageMaker Studio は、SageMaker AI が管理する VPC を介してインターネットと通信するネットワークインターフェイスをデフォルトで提供しています。Amazon S3 や CloudWatch などの AWS サービスへのトラフィックは、インターネットゲートウェイを通過します。SageMaker API と SageMaker AI ランタイムにアクセスするトラフィックもインターネットゲートウェイを経由します。ドメインと Amazon EFS ボリューム間のトラフィックは、Studio にオンボーディングした際、または [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) API を呼び出した際に指定した VPC を経由します。デフォルト設定は以下の図のようになります。

![\[インターネットへの直接アクセスの使用を描いた SageMaker Studio VPC の図\]](http://docs.aws.amazon.com/ja_jp/sagemaker/latest/dg/images/studio/studio-vpc-internet.png)


## インターネットとの `VPC only` 通信
<a name="studio-notebooks-and-internet-access-vpc"></a>

SageMaker AI が Studio ノートブックにインターネットアクセスを提供しないようにするには、`VPC only` ネットワークアクセスタイプを指定してインターネットアクセスを無効にします。[Studio にオンボードする](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html)際、または [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) API を呼び出す際に、このネットワークアクセスタイプを指定します。これにより、次の条件を満たさない限り、Studio ノートブックを実行できなくなります。
+ VPC に SageMaker API とランタイムへのインターフェイスエンドポイントがあるか、インターネットにアクセスできる NAT ゲートウェイがある
+ セキュリティグループでアウトバウンド接続が許可されている

次の図は、VPC 専用モードを使用するための設定を示しています。

![\[VPC 専用モードの使用を描いた SageMaker Studio VPC の図\]](http://docs.aws.amazon.com/ja_jp/sagemaker/latest/dg/images/studio/studio-vpc-private.png)


### `VPC only` モードを使用するための要件
<a name="studio-notebooks-and-internet-access-vpc-requirements"></a>

`VpcOnly` を選択した場合は、次の手順に従います。

1. プライベートサブネットのみを使用する必要があります。パブリックサブネットは、`VpcOnly` モードでは使用できません。

1. サブネットに必要な IP アドレス数があることを確認してください。ユーザー 1 人あたりに必要な IP アドレスの数は、ユースケースによって異なる場合があります。ユーザー 1 人につき 2～4 個の IP アドレスを推奨します。Studio ドメインの合計 IP アドレス数は、ドメインの作成時に提供された各サブネットで使用可能な IP アドレスの合計です。IP アドレスの使用量が、提供したサブネットの数でサポートされる容量を超えないように注意します。さらに、多数のアベイラビリティゾーンに分散されたサブネットを使用すると、IP アドレスの可用性が向上します。詳細については、「[IPv4 用の VPC とサブネットのサイズ設定](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#vpc-sizing-ipv4)」を参照してください。
**注記**  
デフォルトのテナンシー VPC でのみサブネットを設定できます。このデフォルトでは、インスタンスが共有ハードウェアで実行されます。VPC のテナンシー属性の詳細については、「[ハードウェア専有インスタンス](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)」を参照してください。

1. 
**警告**  
`VpcOnly` モードを使用すると、ドメインのネットワーク設定の一部を所有することになります。セキュリティのベストプラクティスとして、セキュリティグループのルールが提供するインバウンドアクセスとアウトバウンドアクセスに最小特権のアクセス許可を適用することをお勧めします。過度に許可されるインバウンドルール設定では、VPC にアクセスできるユーザーが認証なしで他のユーザープロファイルのアプリケーションとやり取りできる可能性があります。

   以下のトラフィックを許可するインバウンドルールとアウトバウンドルールを使用して、1 つ以上のセキュリティグループを設定します。
   + [ポート 2049 での TCP 経由の NFS トラフィック](https://docs.aws.amazon.com/efs/latest/ug/network-access.html)。ドメインと Amazon EFS ボリューム間のトラフィックです。
   + [セキュリティグループ内の TCP トラフィック](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances)。これは Jupyter Server アプリケーションと Kernel Gateway アプリケーションの間の接続に必要です。範囲 `8192-65535` 内の最小数のポートへのアクセスを許可する必要があります。

   ユーザープロファイルごとに個別のセキュリティグループを作成し、同じセキュリティグループからのインバウンドアクセスを追加します。ドメインレベルのセキュリティグループをユーザープロファイルに再利用することはお勧めしません。ドメインレベルのセキュリティグループがそれ自体へのインバウンドアクセスを許可すると、ドメイン内のすべてのアプリケーションがドメイン内のその他のすべてのアプリケーションにアクセスできるようになります。

1. インターネットアクセスを許可する場合は、[インターネットゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)などを経由してインターネットにアクセスできる [NAT ゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with)を使用する必要があります。

1. インターネットアクセスを削除するには、[インターフェイス VPC エンドポイント (PrivateLink) を作成して](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)、Studio が対応するサービス名で次のサービスにアクセスできるようにします。AWS PrivateLink また、VPC のセキュリティグループをこれらのエンドポイントに関連付ける必要があります。
   + SageMaker API : `com.amazonaws.region.sagemaker.api` 
   + SageMaker AI runtime: `com.amazonaws.region.sagemaker.runtime`。Studio ノートブックを実行し、モデルをトレーニングおよびホストするために必要です。
   + Amazon S3: `com.amazonaws.region.s3`。
   + SageMaker プロジェクトを使用する場合: `com.amazonaws.region.servicecatalog`。
   + 必要なその他の AWS サービス。

    [SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable/) を使用してリモートトレーニングジョブを実行する場合は、次の Amazon VPC エンドポイントも作成する必要があります。
   + AWS Security Token Service: `com.amazonaws.region.sts`
   + Amazon CloudWatch: `com.amazonaws.region.logs`。 これは、SageMaker Python SDK がリモートトレーニングジョブのステータスを取得できるようにするために必要です Amazon CloudWatch。

**注記**  
VPC モードで顧客が作業する場合、会社のファイアウォールが原因となって SageMaker Studio または JupyterServer と KernelGateway 間に接続の問題が発生する場合があります。ファイアウォールの背後から SageMaker Studio を使用している際にこれらの問題のいずれかが発生した場合は、次の点を確認してください。  
Studio URL がネットワーク許可リストに含まれていることをチェックする。
WebSocket 接続がブロックされていないことをチェックする。WebSocket は Jupyter 内部で使用されます。KernelGateway アプリケーションが InService になっていると、JupyterServer が KernelGateway に接続できない場合があります。この問題は、システムターミナルが開いている場合にも発生します。

**詳細情報**
+ [プライベート VPC を使用して Amazon SageMaker Studio の接続を保護する](https://aws.amazon.com/blogs/machine-learning/securing-amazon-sagemaker-studio-connectivity-using-a-private-vpc)
+ [VPC のセキュリティグループ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
+ [VPC 内で SageMaker AI に接続する](interface-vpc-endpoint.md)
+ [パブリックサブネットとプライベートサブネットを持つ VPC (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)