Amazon Web Services ブログ

AWS PrivateLink を使用した Amazon SageMaker で、セキュアな予測呼び出し

Amazon SageMakerAWS PrivateLink を使用した Amazon Virtual Private Cloud (VPC) エンドポイントをサポートすることになりました。これで、インターネットに頼ることなく、ユーザーの VPC 内の Amazon SageMaker にホスティングされた機械学習モデルの予測呼び出しを開始できます。

Amazon SageMaker は、開発者やデータサイエンティストが、機械学習モデルをあらゆる規模で、迅速かつ簡単に構築、トレーニング、デプロイできるようにする完全マネージド型プラットフォームです。機械学習モデルは Amazon SageMaker を使用して実稼働状態にデプロイされると、ユーザーのアプリケーションにセキュアな HTTPS エンドポイントを設定します。予測の低いレイテンシーおよび高いスループットを達成するために、アプリケーションに求められるのは SageMaker Runtime API を使用することのみとなりました。AWS PrivateLink をサポートすることで、SageMaker Runtime API はインターネットで接続するのではなく、VPC 内のインターフェイスエンドポイントから呼び出しが可能になります。クライアントアプリケーションと SageMaker Runtime API の間での通信は VPC 内で行われるので、インターネットゲートウェイ、NAT デバイス、VPN 接続、AWS Direct Connect は必要ありません。

AWS コマンドラインインターフェイス (AWS CLI) のコマンドまたは AWS マネジメントコンソールを使用して、SageMaker Runtime に接続するための VPC インターフェイスエンドポイントを作成することもできます。コンソールから VPC エンドポイントを作成するには、Amazon VPC コンソールからエンドポイントページを開いて、新しいエンドポイントを作成します。

これには、3 つの属性が必要です。

  1. SageMaker Runtime のサービス名。[Service category] で [AWS services] を選択して、[amazonaws.us-east-2.sagemaker.runtime] を選択します。
  2. 使用したい [VPC] および [Availability Zone]。
  3. エンドポイントネットワークインターフェイスに関連付けられたセキュリティグループ。セキュリティグループを指定しない場合は、ユーザーの VPC のデフォルトであるセキュリティグループが関連付けられます。

VPC エンドポイントを作成すると、Amazon SageMaker Runtime に対するインターフェイスエンドポイントを指定するために endpoint-url パラメータを使用する CLI コマンドを使用できるようになります。以下に例を示します。

aws sagemaker-runtime invoke-endpoint –-endpoint-url VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com  \
    --endpoint-name Endpoint_Name \
    --body "Endpoint_Body" \
    --content-type "Content_Type" \
Output_File

オプションとして、ユーザーの VPC エンドポイントのプライベート DNS ホスト名を有効にすると、エンドポイント URL を指定する必要はありません。

プライベートホストゾーンにより、プライベート IPv4 アドレスまたは AWS が提供するプライベート DNS ホスト名ではなく、example.com のようなカスタム DNS ドメイン名を使用して、ユーザーの VPC 内のリソースにアクセスできるようになります。CLI および Amazon SageMaker Runtime SDK がデフォルトで使用する Amazon SageMaker Runtime DNS ホスト名 (https://runtime.sagemaker.Region.amazonaws.com) がユーザーの VPC エンドポイントを解決します。

まとめ

Amazon SageMaker の予測呼び出しが AWS PrivateLink でサポートされるようになり、インターネットからセキュアに保たれます。インターネットに頼ることなく、ユーザーの VPC 内の Amazon SageMaker にホスティングされた機械学習モデルの予測呼び出しを開始できます。

SageMaker Runtime 向け VPC エンドポイントは Amazon VPC および Amazon SageMaker の両方が利用可能なすべての AWS リージョンで利用可能になりました。


今回のブログ投稿者について

Urvashi Chowdhary は Amazon SageMaker のシニアプロダクトマネージャーです。お客様との協業で機械学習をよりわかりやすいものにしようと意欲的です。余暇は大好きなヨット、カヌー、カヤックで過ごします。