本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 VPC 中的笔记本实例 Connect 到外部资源
以下主题提供了有关如何将 VPC 中的笔记本实例连接到外部资源的信息。
与互联网的默认通信
当你的笔记本允许直接 Internet 访问,SageMaker 提供了一个网络接口,允许笔记本通过 SageMaker 管理的 VPC 与 Internet 通信。VPC CIDR 中的流量将通过在 VPC 中创建的 elastic network interface。所有其他流量通过 SageMaker 创建的网络接口,该接口本质上是通过公有 Internet。到 Amazon S3 和 DynamoDB 等网关 VPC 终端节点的流量通过公有 Internet,而到接口 VPC 终端节点的流量仍通过您的 VPC。如果要使用网关 VPC 终端节点,您可能希望禁用直接 Internet 访问。
VPC 与互联网的通信
要禁用直接 Internet 访问,您可以为笔记本实例指定一个 VPC。通过这样做,你可以防止 SageMaker 从提供对笔记本实例的互联网访问。因此,除非您的 VPC 具有接口终端节点,否则,笔记本实例无法训练或托管模型 (Amazon PrivateLink) 或者 NAT 网关,您的安全组允许出站连接。
有关创建 VPC 接口终端节点以使用的信息Amazon PrivateLink对于你的笔记本实例,请参阅通过 VPC 接口终端节点连接到笔记本实例. 有关为 VPC 设置 NAT 网关的信息,请参阅。带有公有和私有子网的 VPC (NAT)中的Amazon Virtual Private Cloud 用户指南. 有关安全组的信息,请参阅您的 VPC 的安全组。有关每种网络模式中的网络配置和在本地配置网络的更多信息,请参阅了解 Amazon SageMaker 笔记本实例网络配置和高级路由选项
安全性和共享笔记本实例
一个 SageMaker 笔记本实例最适合单个用户。它旨在为数据科学家和其他用户提供管理开发环境的最强大功能。
笔记本实例用户具有安装程序包和其他相关软件的根访问权限。对于连接到包含敏感信息的 VPC 的笔记本实例,建议您在授予其相关的个人访问权限时谨慎处理。例如,您可以授予用户访问具有 IAM 策略的笔记本实例的权限,如以下示例所示:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sagemaker:CreatePresignedNotebookInstanceUrl", "Resource": "arn:aws:sagemaker:region:account-id:notebook-instance/myNotebookInstance" } ] }