SageMaker Studioなどを利用する際には専用のドメインを作る必要があり、SageMakerドメインには、EFSボリュームやユーザー、セキュリティ、アプリケーション、ポリシー、およびVPC設定が含まれます。
1アカウントに複数のドメインを作ることができるため、例えば設定の違いから部門Aと部門Bを分離することが可能になります。
そのドメインを作成する際のネットワーク構成として「Public only」と「VPC only」の2つから選択します。
2つは何が違うのか。Pubic internet Onlyで運用すると問題があるのか。
気になったので調べてみました。
「VPCのみ」の方がセキュアな感じがするね
「パブリックインターネットのみ」だと運用に支障があるのかしら?
Public only(デフォルト)
SageMakerドメインとEFSボリューム間の通信のみ、ドメイン作成時に指定したVPCを経由します。
その他の通信はインターネットを経由します。
特別な設定が不要ね。
うん、すぐに利用を開始することができるね。
| メリット | デメリット |
|---|---|
| 手軽にStudioノートブックを使える GitHubのAWS提供コード参照など、特に設定することなくインターネット接続可能 | 外部インターネットアクセスにより、悪意あるコードを意図せずダウンロードしてしまうなどのセキュリティリスク ノートブックからRedshiftやRDSに接続できない (多くの場合、インターネット経由で接続できない構成とするため) |
VPC only
StudioドメインとEFS間の通信を除き、AWSリソース間の通信はすべてVPCエンドポイントを経由します。
インターネットアクセスが必要ならば、パブリックサブネットにNATGatewayを配置します。
セキュリティグループ含め利用開始までにいくつか設定が必要になります。
Pulic Onlyよりもセキュアになるね。
Public onlyよりも追加の設定が必要ね。
使い方によっては追加の課金も発生するかもしれないわね。
| メリット | デメリット |
|---|---|
| ノートブックから(内部通信のみの)RedshiftやRDSに接続できる ノートブックとAWSサービス間はすべてVPC経由のため安全性が高い | VPCエンドポイントやインターネット接続に使用するNATゲートウェイが必要 故にVPC環境のメンテナンスコストがかかる 故にVPC環境の料金コストがかかる 会社のFWなどネットワーク調整が必要な場合がある |
まとめ
- SageMakerドメイン作成時のネットワーク方式として「Public only」と「VPC only」のいずれかを選択します。
- Public Onlyは始めるのに手っ取り早いですが、よりセキュアに利用する際はVPC Onlyを選択します。
- VPC OnlyはPublic Onlyに比べると設定の手間が多く、使い方によっては料金が高くなる場合があります。
AWSサポートに確認したら、ノートブックを使うだけであればセキュリティレベルは変わらないそうだよ
ノートブックからアクセスする対象がVPC内のみに存在する場合や、セキュリティポリシーによりインターネット通信禁止といった場合は「VPCのみ」の構成をとることが多いって聞いたわね
参考記事
https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html
https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-and-internet-access.html