ネットワークの隔離をオンにしたときに、SageMaker コンテナが Amazon S3 データにアクセスし、ログを CloudWatch にプッシュするにはどうすればよいですか?

解決方法

ネットワークの隔離をオンにすると、SageMaker はトレーニングコンテナまたは推論コンテナへの隔離で Amazon S3 と CloudWatch にアクセスします。Amazon Virtual Private Cloud (Amazon VPC) を指定しない場合、データアクセスとロギングはサーバー側で行われます。この場合、コンテナはネットワークにアクセスできません。

トレーニング、処理、またはモデル設定で VPCConfig を指定すると、SageMaker は指定した Amazon VPC に 2 つのエラスティックネットワークインターフェイスを作成します。すべてのトラフィックは、指定された VPC 内のこれらの 2 つのエラスティックネットワークインターフェイスを介してルーティングされます。1 つのエラスティックネットワークインターフェイスはアルゴリズムコンテナ用で、もう 1 つは Amazon S3 とロギングアクセス用です。VPCConfig で Amazon VPC を指定した場合、ネットワークの隔離の設定ではアルゴリズムコンテナ用のエラスティックネットワークインターフェイスは作成されません。これにより、コンテナはすべてのアウトバウンドネットワーク呼び出しからブロックされます。もう 1 つのエラスティックネットワークインターフェイスはそのままで、Amazon S3 とロギングアクセス用に使用できます。

いずれの場合も、ノード上で実行されている内部 SageMaker プロセスがデータをダウンロードします。次に、ジョブ定義で指定された入力チャンネルにより、このデータをアルゴリズムコンテナで使用できるようになります。また、ノード上で実行されている内部プロセスにより、ログとメトリクスが CloudWatch で使用できるようになります。これらのノードは、VPCConfig 内の VPC を介して CloudWatch に接続します。

VPCConfig を指定するかどうかにかかわらず、コンテナは AWS サービスへの API 呼び出しを行うための AWS 認証情報にアクセスできません。

関連情報

ネットワークの隔離