翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

トレーニングおよび推論コンテナをインターネット無料モードで実行する

SageMaker AI トレーニングとデプロイされた推論コンテナは、デフォルトでインターネットが有効になっています。これにより、コンテナは、トレーニングと推論ワークロードの一部として、外部サービスとパブリックインターネットのリソースにアクセスできるようになります。ただし、これによってデータへの不正アクセスの手段が生じることもあります。例えば、悪意のあるユーザーや、(一般公開されているソースコードライブラリの形式で) コンテナに誤ってインストールしたコードがデータにアクセスし、そのデータをリモートホストに転送する可能性があります。

CreateTrainingJob、CreateHyperParameterTuningJob、または CreateModel を呼び出すときに、VpcConfig パラメータに値を指定して Amazon VPC を使用する場合、セキュリティグループを管理し、VPC からのインターネットアクセスを制限することで、データとリソースを保護できます。ただし、これには追加のネットワーク設定のコストがかかります。また、ネットワークが適切に設定されないというリスクが付随します。SageMaker AI でトレーニングコンテナや推論コンテナへの外部ネットワークアクセスを許可しないようにする場合は、ネットワーク分離を有効にします。

ネットワークの隔離

トレーニングジョブまたはモデルの作成時にネットワーク分離を有効にするには、CreateTrainingJob、CreateHyperParameterTuningJob、または CreateModel を呼び出すときに EnableNetworkIsolation パラメータの値を True に設定できます。

ネットワーク分離を有効にすると、トレーニングコンテナと推論コンテナは Amazon S3 を含むどのサービスにもアウトバウンドネットワークコールを実行できません。コンテナランタイム環境で使用できるAWS認証情報はありません。複数のインスタンスを持つトレーニングジョブの場合、ネットワークのインバウンドトラフィックとアウトバウンドトラフィックは、トレーニングコンテナピア間の通信に制限されます。

SageMaker AI は、SageMaker AI 実行ロールを使用して、必要なすべての Amazon S3 ダウンロードおよびアップロードオペレーションを引き続き処理します。これは、トレーニングコンテナと推論コンテナとは別に行われるため、コンテナの分離を維持しながらトレーニングデータとモデルアーティファクトに引き続きアクセスできます。

Amazon S3 へのアクセス権が必要なため、以下のマネージド SageMaker AI コンテナではネットワーク分離がサポートされていません。

VPC によるネットワーク分離

ネットワーク分離は、VPC と組み合わせて使用することができます。このシナリオでは、顧客のデータとモデルのアーティファクトのダウンロードとアップロードが、VPC サブネット経由でルーティングされます。ただし、トレーニングと推論コンテナ自体はネットワークから継続的に切り離され、VPC 内またはインターネットのどのリソースにもアクセスすることはできません。