将笔记本实例连接到 VPC 中的资源 - Amazon SageMaker
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将笔记本实例连接到 VPC 中的资源

以下主题提供了有关如何将笔记本实例连接到 VPC 中的资源的信息。

与互联网的默认通信

当您的笔记本允许直接 Internet 访问SageMaker 提供了一个网络接口,允许笔记本通过 SageMaker 管理的 VPC 与 Internet 通信。您的 VPC 的 CIDR 中的流量通过在 VPC 中创建的 elastic network interface。所有其他流量都通过 SageMaker 创建的网络接口,这实际上是通过公有 Internet。到网关 VPC 终端节点(如 Amazon S3 和 DynamoDB)的流量通过公有 Internet,而到接口 VPC 接口终端节点的流量仍通过您的 VPC。如果要使用网关 VPC 终端节点,您可能希望禁用直接 Internet 访问。

VPC 与互联网的通信

要禁用直接 Internet 访问,您可以为笔记本实例指定一个 VPC。这样做,您可以禁止 SageMaker 为笔记本实例提供 Internet 访问权限。因此,除非您的 VPC 具有接口终端节点 (Amazon PrivateLink)或 NAT 网关,并且您的安全组允许出站连接。

有关创建 VPC 接口终端节点以使用Amazon PrivateLink对于笔记本实例,请参阅通过 VPC 接口终端节点连接到笔记本实例. 有关为 VPC 设置 NAT 网关的信息,请参阅。带有公有和私有子网的 VPC (NAT)中的Amazon Virtual Private Cloud 用户指南. 有关安全组的信息,请参阅您的 VPC 的安全组。有关每种网络模式中的网络配置以及在本地配置网络的更多信息,请参阅了解 Amazon SageMaker 笔记本实例网络配置和高级路由选项.

安全性和共享笔记本实例

SageMaker 笔记本实例最适合单个用户。它旨在为数据科学家和其他用户提供管理开发环境的最强大功能。

笔记本实例用户具有安装程序包和其他相关软件的根访问权限。对于连接到包含敏感信息的 VPC 的笔记本实例,建议您在授予其相关的个人访问权限时谨慎处理。例如,您可以授予用户访问具有 IAM 策略的笔记本实例的权限,如下例所示:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sagemaker:CreatePresignedNotebookInstanceUrl", "Resource": "arn:aws:sagemaker:region:account-id:notebook-instance/myNotebookInstance" } ] }