将 VPC 中的笔记本实例连接到外部资源
以下主题提供了有关如何将 VPC 中的笔记本实例连接到外部资源的信息。
与互联网的默认通信
当笔记本允许直接互联网访问时,SageMaker 提供一个网络接口以允许笔记本通过 SageMaker 管理的 VPC 与互联网通信。您的 VPC 的 CIDR 中的流量将通过在 VPC 中创建的弹性网络接口。所有其他流量将通过 SageMaker 创建的网络接口,这实际上是通过公共互联网。到网关 VPC 端点(如 Amazon S3 和 DynamoDB)的流量将通过公共互联网,而到接口 VPC 端点的流量仍通过您的 VPC。如果要使用网关 VPC 端点,您可能希望禁用直接互联网访问。
与互联网的 VPC 通信
要禁用直接互联网访问,您可以为笔记本实例指定一个 VPC。这样做将禁止 SageMaker 为笔记本实例提供互联网访问。因此,除非您的 VPC 具有接口端点 (Amazon PrivateLink) 或 NAT 网关,并且安全组允许出站连接,否则,笔记本实例无法训练或托管模型。
有关创建 VPC 接口端点以将 Amazon PrivateLink 用于笔记本实例的信息,请参阅通过 VPC 接口终端节点连接到笔记本实例。有关为 VPC 设置 NAT 网关的信息,请参阅《Amazon Virtual Private Cloud 用户指南》中的带有公有子网和私有子网 (NAT) 的 VPC。有关安全组的信息,请参阅您的 VPC 的安全组。有关每种网络模式中的网络配置以及在本地配置网络的更多信息,请参阅了解 Amazon SageMaker 笔记本实例网络配置和高级路由选项
安全和共享笔记本实例
SageMaker 笔记本实例非常适合单个用户。它旨在为数据科学家和其他用户提供管理开发环境的最强大功能。
笔记本实例用户具有安装程序包和其他相关软件的根访问权限。对于连接到包含敏感信息的 VPC 的笔记本实例,建议您在授予其相关的个人访问权限时谨慎处理。例如,您可以授予用户访问具有 IAM 策略的笔记本实例的权限,如下例所示:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sagemaker:CreatePresignedNotebookInstanceUrl", "Resource": "arn:aws:sagemaker:region:account-id:notebook-instance/myNotebookInstance" } ] }