翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Studio とデータソース間のネットワークアクセスを設定する (管理者向け)
<a name="sagemaker-sql-extension-networking"></a>

このセクションでは、管理者がプライベート Amazon VPC 内またはインターネット経由で Amazon SageMaker Studio と [Amazon Redshift](https://aws.amazon.com/redshift/) または [Amazon Athena](https://aws.amazon.com/athena/) 間の通信を有効にするようにネットワークを設定する方法について説明します。ネットワークの手順は、Studio のドメインとデータストアがプライベート [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) (VPC) 内にデプロイされているか、インターネット経由で通信しているかによって異なります。

デフォルトでは、Studio は[インターネットアクセス](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-and-internet-access.html#studio-notebooks-and-internet-access-default)を備えた AWS マネージド VPC で実行されます。インターネット接続を使用する場合、Studio はインターネット経由で Amazon S3 バケットなどの AWS リソースにアクセスします。ただし、データコンテナやジョブコンテナへのアクセスを制御するセキュリティ要件がある場合は、データやコンテナにインターネット経由でアクセスできないように、Studio とデータストア (Amazon Redshift または Athena) を設定することをお勧めします。リソースへのアクセスを制御したり、パブリックインターネットアクセスなしで Studio を実行したりするには、[Amazon SageMaker AI ドメイン](https://docs.aws.amazon.com/sagemaker/latest/dg/gs-studio-onboard.html)へのオンボーディング時に、`VPC only` ネットワークアクセスタイプを指定できます。このシナリオでは、Studio はプライベート [VPC エンドポイント](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)を介して他の AWS サービスとの接続を確立します。`VPC only` モードで Studio を設定する方法については、「[Connect Studio to external resources in a VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-and-internet-access.html#studio-notebooks-and-internet-access-vpc-only)」を参照してください。

**注記**  
Snowflake に接続するには、Studio ドメインの VPC にインターネットアクセスが必要です。

最初の 2 つのセクションでは、パブリックインターネットアクセスなしで Studio ドメインと VPC 内のデータストア間の通信を確保する方法について説明します。最後のセクションでは、インターネット接続を使用して Studio とデータストア間の通信を確保する方法について説明します。インターネットにアクセスできない環境で Studio とデータストアを接続する前に、Amazon Simple Storage Service、Amazon Redshift または Athena、SageMaker AI、および Amazon CloudWatch と AWS CloudTrail (ログ記録とモニタリング) のエンドポイントを確立しておきます。
+ Studio とデータストアが同じ AWS アカウントまたは別のアカウントのいずれかで、別々の VPC 内に配置されている場合は、「[Studio とデータストアが別の VPC 内に配置されている場合](#sagemaker-sql-extension-networking-cross-vpc)」を参照してください。
+ Studio とデータストアが同じ VPC 内に配置されている場合は、「[Studio とデータストアが同じ VPC 内に配置されている場合](#sagemaker-sql-extension-networking-same-vpc)」を参照してください。
+ Studio とデータストアをパブリックインターネット経由で接続する場合は、「[Studio とデータストアがパブリックインターネットを介して通信する場合](#sagemaker-sql-extension-networking-internet)」を参照してください。

## Studio とデータストアが別の VPC 内に配置されている場合
<a name="sagemaker-sql-extension-networking-cross-vpc"></a>

別の VPC にデプロイされた Studio とデータストア間の通信を許可するには:

1. まず VPC ピアリング接続を使用して VPC を接続します。

1. Studio サブネットとデータストアサブネット間の双方向ネットワークトラフィックを許可するように、各 VPC のルーティングテーブルを更新します。

1. インバウンドおよびアウトバウンドのトラフィックを許可するようにセキュリティグループを設定します。

設定手順は、Studio とデータストアが 1 つの AWS アカウントにデプロイされているか、異なる AWS アカウントにデプロイされているかにかかわらず同じです。

1. 

**VPC ピアリング**

   2 つの VPC (Studio とデータストア) 間のネットワーキングを確立するために、[VPC ピアリング接続](https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html)を作成します。

   1. Studio アカウントの VPC ダッシュボードで **[ピアリング接続]**、**[ピアリング接続を作成]** の順にクリックします。

   1. Studio の VPC をデータストアの VPC とピアリングするためのリクエストを作成します。別の AWS アカウントでピアリングをリクエストする場合は、**「ピアリングする別の VPC **を選択する」で別の**アカウント**を選択します。

      クロスアカウントピアリングの場合、管理者が SQL エンジンのアカウントからのリクエストを許可する必要があります。

      プライベートサブネットをピアリングする場合、VPC ピアリング接続レベルでプライベート IP DNS 解決を有効にする必要があります。

1. 

**ルーティングテーブル**

   Studio の VPC サブネットとデータストアの VPC サブネット間のネットワークトラフィックを双方向に許可するようにルーティングを設定します。

   ピアリング接続を確立すると、(クロスアカウントアクセスの各アカウントの) 管理者は、プライベートサブネットのルートテーブルにルートを追加して、Studio VPC サブネットとデータストアの VPC サブネット間のトラフィックをルーティングできます。VPC ダッシュボードの各 VPC の **[ルートテーブル]** セクションに移動すると、これらのルートを定義できます。

1. 

**セキュリティグループ**

   最後に、Studio のドメイン VPC のセキュリティグループがアウトバウンドトラフィックを許可し、データストアの VPC のセキュリティグループは Studio の VPC セキュリティグループからのインバウンドトラフィックをデータストアのポートで許可する必要があります。

## Studio とデータストアが同じ VPC 内に配置されている場合
<a name="sagemaker-sql-extension-networking-same-vpc"></a>

 Studio とデータストアが同じ VPC 内の別のプライベートサブネットに配置されている場合は、各プライベートサブネットのルートテーブルにルートを追加します。このルートは、Studio サブネットとデータストアサブネットの間でのトラフィックフローを許可する必要があります。VPC ダッシュボードの各 VPC の **[ルートテーブル]** セクションに移動すると、これらのルートを定義できます。Studio とデータストアを同じ VPC と同じサブネットにデプロイした場合、トラフィックをルーティングする必要はありません。

ルーティングテーブルの更新内容を問わず、Studio のドメイン VPC のセキュリティグループはアウトバウンドトラフィックを許可し、データストアの VPC のセキュリティグループは Studio の VPC セキュリティグループからのインバウンドトラフィックをポートで許可する必要があります。

## Studio とデータストアがパブリックインターネットを介して通信する場合
<a name="sagemaker-sql-extension-networking-internet"></a>

Studio はデフォルトで、Studio ドメインに関連付けられた VPC 内のインターネットゲートウェイを介したインターネットとの通信を許可するネットワークインターフェイスを提供します。パブリックインターネット経由でデータストアに接続する場合は、データストアがポートでインバウンドトラフィックを許可する必要があります。

複数の VPC のプライベートサブネット内のインスタンスがインターネットにアクセスする際に、[インターネットゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)が提供する単一のパブリック IP アドレスを共有できるようにするには、[NAT ゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with)を使用する必要があります。

**注記**  
インバウンドトラフィックのために開かれた各ポートは、潜在的なセキュリティリスクとなります。カスタムセキュリティグループを注意深く確認して、脆弱性を最小限に抑えます。