翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# VPC 内の Amazon SageMaker Studio ノートブックを外部リソースに接続する
**重要**
2023 年 11 月 30 日以降、従来の Amazon SageMaker Studio のエクスペリエンスは Amazon SageMaker Studio Classic と名前が変更されました。以下のセクションは、更新後の Studio のエクスペリエンスに沿った内容になっています。Studio Classic アプリケーションを使用する場合は、「[Amazon SageMaker Studio Classic](studio.md)」を参照してください。
次のトピックでは、VPC 内の Amazon SageMaker Studio ノートブックを外部リソースに接続する方法について説明します。
**Topics**
+ [インターネットとのデフォルトの通信](#studio-notebooks-and-internet-access-default-setting)
+ [インターネットとの `VPC only` 通信](#studio-notebooks-and-internet-access-vpc-only)
## インターネットとのデフォルトの通信
Amazon SageMaker Studio はデフォルトで、SageMaker AI が管理する VPC を介してインターネットと通信するネットワークインターフェイスをデフォルトで提供しています。Amazon S3 や CloudWatch などの AWS サービスへのトラフィックは、SageMaker AI API や SageMaker AI ランタイムにアクセスするトラフィックと同様に、インターネットゲートウェイを通過します。ドメインと Amazon EFS ボリューム間のトラフィックは、ドメインにオンボーディングした際に指定した VPC 、または [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) API を呼び出した際に指定した VPC を経由します。
## インターネットとの `VPC only` 通信
SageMaker AI の Studio ノートブックへのインターネットアクセスの提供を回避するには、[Studio にオンボードする](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html)際、または [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) API を呼び出す際に `VPC only` ネットワークアクセスタイプを指定して、インターネットアクセスを無効にできます。その結果、VPC に SageMaker とランタイムへのインターフェイス エンドポイント、またはインターネットにアクセスできる NAT ゲートウェイが配置され、セキュリティグループでアウトバウンド接続が許可されていない限り、Studio を実行できなくなります。
**注記**
ドメイン作成後に、[update-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sagemaker/update-domain.html) コマンドの `--app-network-access-type` パラメータを使用して、ネットワークアクセスタイプを変更できます。
### `VPC only` モードを使用するための要件
`VpcOnly` を選択した場合は、次の手順に従います。
1. プライベートサブネットのみを使用する必要があります。パブリックサブネットは、`VpcOnly` モードでは使用できません。
1. サブネットに必要な IP アドレス数があることを確認してください。ユーザー 1 人あたりに必要な IP アドレスの数は、ユースケースによって異なる場合があります。ユーザー 1 人につき 2~4 個の IP アドレスを推奨します。ドメインの IP アドレス数の合計は、ドメインの作成時に提供された各サブネットで使用可能な IP アドレスの合計です。予想される IP アドレスの使用数が、指定するサブネットの数でサポートされる数を超えないようにしてください。また、多数のアベイラビリティーゾーンに分散されたサブネットを使用すると、IP アドレスの可用性を高めることができます。詳細については、「[IPv4 用の VPC とサブネットのサイズ設定](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4)」を参照してください。
**注記**
デフォルトのテナンシー VPC でのみサブネットを設定できます。このデフォルトでは、インスタンスが共有ハードウェアで実行されます。VPC のテナンシー属性の詳細については、「[ハードウェア専有インスタンス](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)」を参照してください。
1.
**警告**
`VpcOnly` モードを使用すると、ドメインのネットワーク設定の一部を所有することになります。セキュリティのベストプラクティスとして、セキュリティグループのルールが提供するインバウンドアクセスとアウトバウンドアクセスに最小特権のアクセス許可を適用することをお勧めします。過度に許可されるインバウンドルール設定では、VPC にアクセスできるユーザーが認証なしで他のユーザープロファイルのアプリケーションとやり取りできる可能性があります。
以下のトラフィックを許可するインバウンドルールとアウトバウンドルールを使用して、1 つ以上のセキュリティグループを設定します。
+ [ポート 2049 での TCP 経由の NFS トラフィック](https://docs.aws.amazon.com/efs/latest/ug/network-access.html)。ドメインと Amazon EFS ボリューム間のトラフィックです。
+ [セキュリティグループ内の TCP トラフィック](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances)。これは Jupyter Server アプリケーションと Kernel Gateway アプリケーションの間の接続に必要です。範囲 `8192-65535` 内の最小数のポートへのアクセスを許可する必要があります。
ユーザープロファイルごとに個別のセキュリティグループを作成し、同じセキュリティグループからのインバウンドアクセスを追加します。ドメインレベルのセキュリティグループをユーザープロファイルに再利用することはお勧めしません。ドメインレベルのセキュリティグループがそれ自体へのインバウンドアクセスを許可すると、ドメイン内のすべてのアプリケーションがドメイン内の他のすべてのアプリケーションにアクセスできるようになります。
1. インターネットアクセスを許可する場合は、[インターネットゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)などを経由してインターネットにアクセスできる [NAT ゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with)を使用する必要があります。
1. インターネットアクセスを許可しない場合は、[インターフェイス VPC エンドポイント (PrivateLink) を作成して](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)、Studio が対応するサービス名で次のサービスにアクセスできるようにします。AWS PrivateLink また、VPC のセキュリティグループをこれらのエンドポイントに関連付ける必要があります。
+ SageMaker API: `com.amazonaws.{{region}}.sagemaker.api`
+ SageMaker AI runtime: `com.amazonaws.{{region}}.sagemaker.runtime`。これは、エンドポイント呼び出しを実行するために必要です。
+ Amazon S3: `com.amazonaws.{{region}}.s3`。
+ SageMaker プロジェクト: `com.amazonaws.{{region}}.servicecatalog`
+ SageMaker Studio: `aws.sagemaker.region.studio`
+ 必要なその他の AWS サービス。
[SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable/) を使用してリモートトレーニングジョブを実行する場合は、次の Amazon VPC エンドポイントも作成する必要があります。
+ AWS Security Token Service: `com.amazonaws.{{region}}.sts`
+ Amazon CloudWatch: `com.amazonaws.{{region}}.logs`。 これは、SageMaker Python SDK がリモートトレーニングジョブのステータスを取得できるようにするために必要です Amazon CloudWatch。
1. オンプレミスネットワークからドメインを `VpcOnly` モードで使用する場合は、ブラウザで Studio を実行しているホストのネットワークとターゲット Amazon VPC からプライベート接続を確立します。これは、Studio UI が一時的な AWS 認証情報で API コールを使用して AWS エンドポイントを呼び出すために必要です。これらの一時的な認証情報は、ログインしたユーザープロファイルの実行ロールに関連付けられています。ドメインがオンプレミスネットワークで `VpcOnly` モードで設定されている場合、実行ロールは、設定された Amazon VPC エンドポイントを介してのみ AWS サービス API コールの実行を強制する IAM ポリシー条件を定義する場合があります。これにより、Studio UI から実行される API コールが失敗します。これを解決するには、[AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) または [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 接続を使用することをお勧めします。
**注記**
VPC モードで作業している場合、会社のファイアウォールによって Studio またはアプリケーションとの接続に問題が発生する場合があります。ファイアウォールの背後から Studio を使用している際にこれらの問題のいずれかが発生した場合は、次の点を確認してください。
Studio URL とすべてのアプリケーションの URL がネットワークの許可リストに含まれていることを確認します。例えば、次のようになります。
```
*.studio.{{region}}.sagemaker.aws
*.console.aws.a2z.com
```
Websocket 接続がブロックされていないことを確認します。Jupyter は Websocket を使用します。
**詳細情報**
+ [VPC のセキュリティグループ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [VPC 内で SageMaker AI に接続する](interface-vpc-endpoint.md)
+ [パブリックサブネットとプライベートサブネットを持つ VPC (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)