SEが最近起こったことを書くブログ

ITエンジニアが試したこと、気になったことを書いていきます。

SageMaker Canvasをインターネットに接続なしVPC Onlyドメインで実行するために作成したVPCエンドポイント

SageMaker Canvasをインターネット接続なしのVPC専用モードで動かすときにどのサービスのVPCエンドポイントを作る必要があるか分からなかったので、やってみた結果を残す

困ったこと

以下のページを見ると、SageMaker Canvasが使用できるサービスのVPCエンドポイント一覧はあるが、SageMaker Canvasを動かすために最低限必要なVPCエンドポイントについての記載がない docs.aws.amazon.com

検討する際に以下のページを参考とした

docs.aws.amazon.com

作成したエンドポイント

  • SageMaker API
  • SageMaker ランタイム
  • Amazon S3
    • ページ上の説明はインターフェースのVPCエンドポイントと書いてあるが、ゲートウェイ型でも動いた
  • AWS Security Token Service
  • Amazon CloudWatch Logs

上記ページに従い、上記のVPCエンドポイントを作成した

下2つは、Python SDKを使う場合とあるが、SageMaker CanvasがCloudWatch Logsへログを吐き出すためか、作成しないとSageMaker Canvasは正しく動作しなかった

もう少しVPCエンドポイントを減らせる可能性もあるが、自分の環境では5つのVPCエンドポイントを作成することでSageMwaker Canvasを動かすことができた

補足情報

  • SagemakerNotebookを利用する際はネットワークインタフェースへのセキュリティグループを以下のように設定する必要がある
    • インバウンド「8192-65535」で送信元が「自身のセキュリティグループ」からのアクセスを許可する
    • アウトバウンド「0.0.0.0/0」のすべてのポートの通信を許可する

repost.aws