ある企業は、Amazon SageMakerを使用して機械学習(ML)モデルを開発することを決定しました。企業はSageMakerノートブックインスタンスをVPC内にホストします。トレーニングデータはAmazon S3バケットに保存されています。企業のセキュリティポリシーでは、SageMakerノートブックインスタンスにインターネット接続があってはならないと規定されています。企業のセキュリティ要件を満たすソリューションはどれですか?
正解:B
VPCインターフェースエンドポイント(AWS PrivateLink)は、VPC内のリソースがインターネットを経由せずにAWSサービス(例:Amazon S3、SageMaker)にプライベートにアクセスできるようにする機能です。SageMakerノートブックインスタンスがS3バケット(トレーニングデータ用)やSageMaker API(トレーニングおよびホスティング用)にアクセスするには、S3用のインターフェースエンドポイント(com.amazonaws.<region>.s3)とSageMaker用のエンドポイント(com.amazonaws.<region>.sagemaker.apiなど)をVPCに設定します。これにより、ノートブックインスタンスはインターネット接続なしで必要なサービスにアクセスできます。セキュリティグループを調整して、送信接続のみを許可することで、不要な受信トラフィックをブロックし、セキュリティを強化します。このアプローチは、企業のポリシーに準拠し、SageMakerの運用に必要なアクセスを確保しつつ、インターネット接続を回避します。AWSドキュメントでは、VPCエンドポイントがSageMakerノートブックインスタンスのプライベート接続に推奨されています。
コメント