将中的笔记本实例VPC连接到外部资源 - Amazon SageMaker
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将中的笔记本实例VPC连接到外部资源

以下主题提供了有关如何将中的笔记本实例VPC连接到外部资源的信息。

与互联网的默认通信

当您的笔记本电脑允许直接访问互联网时,会 SageMaker提供一个网络接口,允许笔记本电脑通过由VPC管理的网络与互联网通信 SageMaker。你内部的流量通过你中创建VPC的 CIDR elastic network interface VPC。所有其他流量都通过由创建的网络接口 SageMaker,该接口本质上是通过公共互联网。Amazon S3 和 DynamoDB 等网关VPC终端节点的流量通过公共互联网,而VPC接口终端节点的流量仍然通过您的。VPC如果要使用网关VPC终端节点,则可能需要禁用直接互联网访问。

与互联网的 VPC 通信

要禁用直接访问互联网,您可以VPC为笔记本实例指定。这样,您就无法 SageMaker 为笔记本实例提供互联网访问权限。因此,除非您VPC有接口终端节点 (Amazon PrivateLink) 或NAT网关,并且您的安全组允许出站连接,否则笔记本实例无法训练或托管模型。

有关创建用于笔记本实例的VPC接口终端节点的信息,请参阅通过VPC接口端点连接到笔记本实例。 Amazon PrivateLink 有关为您的设置NAT网关的信息VPC,请参阅VPC《Amazon Virtual Private Cloud 用户指南》中的 “使用公有子网和私有子网 (NAT)”。有关安全组的信息,请参阅您的安全组VPC。有关每种联网模式下的联网配置和本地配置网络的更多信息,请参阅了解 Amazon SageMaker 笔记本实例联网配置和高级路由选项

安全和共享笔记本实例

SageMaker 笔记本实例的设计最适合个人用户。它旨在为数据科学家和其他用户提供管理开发环境的最强大功能。

笔记本实例用户具有安装程序包和其他相关软件的根访问权限。我们建议您在授予个人访问附加到包含敏感信息的笔记本实例时谨慎行事。VPC例如,您可以通过IAM策略向用户授予对笔记本实例的访问权限,如以下示例所示:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sagemaker:CreatePresignedNotebookInstanceUrl", "Resource": "arn:aws:sagemaker:region:account-id:notebook-instance/myNotebookInstance" } ] }