翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 暗号化を使用して転送中のデータを保護する
<a name="encryption-in-transit"></a>

転送中のネットワーク間データはすべて、TLS 1.2 暗号化をサポートしています。TLS 1.3 を使用することをお勧めします。

Amazon SageMaker AI では、機械学習 (ML) モデルアーティファクトと他のシステムアーティファクトは転送中も保管中も暗号化されます。SageMaker AI の API とコンソールに対するリクエストには、安全な SSL 接続を使用します。SageMaker AI に AWS Identity and Access Management ロールを渡し、トレーニングとデプロイのためにユーザーに代わってリソースにアクセスするアクセス許可を付与します。

転送中のネットワーク間データ (サービスプラットフォーム内) の一部は暗号化されません。これには、以下が含まれます。
+ サービスコントロールプレーンとトレーニングジョブインスタンス (顧客データではない) の間のコマンドとコントロールの通信。
+ 分散処理ジョブ (ネットワーク間) のノード間の通信。
+ 分散トレーニングジョブ (ネットワーク間) のノード間の通信。

バッチ処理のためのノード間通信はありません。

トレーニングジョブクラスターと処理ジョブクラスター内のノード間の通信を暗号化することを選択できます。

**注記**  
医療分野のユースケースでは、ノード間の通信を暗号化することがセキュリティのベストプラクティスです。

通信を暗号化する方法については、次のトピックの「[分散トレーニングジョブで ML コンピューティングインスタンス間の通信を保護する](train-encrypt.md)」を参照してください。

**注記**  
コンテナ間のトラフィックを暗号化すると、トレーニング時間が増える可能性があります。特に分散型深層学習アルゴリズムを使用する際にはご注意ください。影響を受けるアルゴリズムについては、このセキュリティレベルを高めることで、コストも増加します。XGBoost、DeepAR、線形学習者などの、ほとんどの SageMaker AI の組み込みアルゴリズムのトレーニング時間は、通常影響を受けません。

FIPS 検証済みのエンドポイントは、SageMaker AI API およびホストモデルのリクエストルーターで利用できます (ランタイム)。FIPS 準拠のエンドポイントについては、「[連邦情報処理規格 (FIPS) 140-2](https://aws.amazon.com/compliance/fips/)」を参照してください。

## RStudio on Amazon SageMaker AI での通信を保護する
<a name="encrypt-rstudio"></a>

RStudio on Amazon SageMaker AI は、SageMaker AI コンポーネントに関連するすべての通信を暗号化します。ただし、以前のバージョンでは RStudioServerPro アプリケーションと RSession アプリケーション間の暗号化はサポートされていませんでした。

RStudio は 2022 年 4 月にバージョン 2022.02.2-485.pro2 をリリースしました。このバージョンは RStudioServerPro アプリと RSession アプリ間の暗号化をサポートし、エンドツーエンドの暗号化を可能にします。ただし、バージョンのアップグレードには完全な下位互換性があるわけではありません。そのため、RStudioServerPro アプリと RSession アプリをすべて更新する必要があります。アプリを更新する方法については、「[RStudio のバージョニング](rstudio-version.md)」を参照してください。

# 分散トレーニングジョブで ML コンピューティングインスタンス間の通信を保護する
<a name="train-encrypt"></a>

デフォルトでは、Amazon SageMaker AI はトレーニングジョブを Amazon Virtual Private Cloud (Amazon VPC) で実行し、データの安全性を維持します。*プライベート* VPC を設定することで、別のレベルのセキュリティを追加して、トレーニングコンテナとデータを保護することができます。分散 ML フレームワークとアルゴリズムは、通常、トレーニングデータセットではなく、ウェイトなど、モデルに直接関連する情報を送信します。分散型トレーニングを実行すると、インスタンス間で送信されるデータをさらに保護することができます。これは規制要件に準拠するのに役立ちます。そのためには、コンテナ間のトラフィック暗号化を使用します。

**注記**  
医療分野のユースケースでは、ノード間の通信を暗号化することがセキュリティのベストプラクティスです。

コンテナ間のトラフィック暗号化を有効にすると、特に分散型深層学習アルゴリズムを使用している場合に、トレーニング時間が増える可能性があります。コンテナ間のトラフィック暗号化を有効にしても、単一のコンピューティングインスタンスを備えるトレーニングジョブには影響しません。だたし、複数のコンピューティングインスタンスを備えるトレーニングジョブについては、トレーニング時間への影響は、コンピューティングインスタンス間の通信の量によって異なります。影響を受けるアルゴリズムについては、このセキュリティレベルを高めることで、コストも増加します。XGBoost、DeepAR、線形学習者などの、ほとんどの SageMaker AI の組み込みアルゴリズムのトレーニング時間は、通常影響を受けません。

トレーニングジョブまたはハイパーパラメータ調整ジョブで、コンテナ間のトラフィック暗号化を有効にできます。コンテナ間のトラフィック暗号化を有効にするには、SageMaker API またはコンソールを使用します。

プライベート VPC でのトレーニングジョブの実行については、「[Amazon VPC のリソースへのアクセス権を SageMaker AI トレーニングジョブに付与する](train-vpc.md)」を参照してください。

## コンテナ間のトラフィック暗号化を有効化にする (API)
<a name="train-encrypt-api"></a>

API を使用してトレーニングまたはハイパーパラメータ調整ジョブでコンテナ間のトラフィック暗号化を有効にするには、プライベート VPC のセキュリティグループにインバウンドルールとアウトバウンドルールを追加します。

**コンテナ間のトラフィック暗号化を有効にするには (API)**

1.  プライベート VPC のセキュリティグループに以下のインバウンドルールおよびアウトバウンドルールを追加します。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/sagemaker/latest/dg/train-encrypt.html)

1. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) または [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html) API に要求を送信するときは、`EnableInterContainerTrafficEncryption` パラメーターに `True` を指定してください。

**注記**  
`ESP 50` プロトコルの場合、 AWS セキュリティグループコンソールはポート範囲を「すべて」と表示することがあります。ESP 50 IP プロトコルには適用されないため、Amazon EC2 では指定されたポート範囲は無視されます。

## コンテナ間のトラフィック暗号化を有効にする (コンソール)
<a name="train-encrypt-console"></a>

### トレーニングジョブのコンテナ間のトラフィック暗号化を有効にする
<a name="train-encrypt-console-training"></a>

**トレーニングジョブのコンテナ間のトラフィック暗号化を有効にするには**

1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。

1. ナビゲーションペインで [**トレーニング**]、[**トレーニングジョブ**] の順に選択します。

1. **[トレーニングジョブの作成]** を選択します。

1. [**ネットワーク**] で、[**VPC**] を選択します。デフォルト VPC を使用するか、作成した VPC を使用します。

1. [**Enable inter-container traffic encryption (コンテナ間のトラフィック暗号化を有効にする)**] を選択します。

コンテナ間のトラフィックを暗号化を有効にしたら、トレーニングジョブの作成を終了します。詳細については、「[モデルをトレーニングします](ex1-train-model.md)」を参照してください。

### ハイパーパラメータ調整ジョブでコンテナ間のトラフィック暗号化を有効にする
<a name="train-encrypt-console-tuning"></a>

**ハイパーパラメータ調整ジョブでコンテナ間のトラフィック暗号化を有効にするには**

1. Amazon SageMaker AI コンソール ([https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)) を開きます。

1. ナビゲーションペインで [**トレーニング**]、[**ハイパーパラメータ調整ジョブ**] の順に選択します。

1. [**ハイパーパラメータ調整ジョブの作成**] を選択します。

1. [**ネットワーク**] で、[**VPC**] を選択します。デフォルト VPC を使用するか、作成した VPC を使用します。

1. [**Enable inter-container traffic encryption (コンテナ間のトラフィック暗号化を有効にする)**] を選択します。

コンテナ間のトラフィックを暗号化を有効にしたら、ハイパーパラメータ調整ジョブの作成を終了します。詳細については、「[ハイパーパラメータ調整ジョブを設定して開始する](automatic-model-tuning-ex-tuning-job.md)」を参照してください。