将笔记本实例连接到 VPC 中的资源 - Amazon SageMaker
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将笔记本实例连接到 VPC 中的资源

默认情况下为 SageMaker 笔记本实例启用 Internet。这样,您就可以下载流行的程序包和笔记本,自定义其开发环境并高效工作。但是,这可能为未经授权访问您的数据提供了一个额外的途径。例如,恶意用户或无意中安装在计算机上的恶意代码 (以公开发布的笔记本或公开发布的源代码库形式) 就可以访问您的数据。您可以选择在 Virtual Private Cloud (VPC) 中启动笔记本实例,以限制哪些流量可以通过公共 Internet。如果在启动时连接了您的 VPC,则可以为笔记本实例配置直接 Internet 访问,也可以不配置该访问。

在笔记本允许直接 Internet 访问 时,SageMaker 提供一个网络接口以允许笔记本通过 SageMaker 管理的 VPC 与 Internet 通信。VPC 的 CIDR 中的流量流经在 VPC 中创建的弹性网络接口。所有其他流量均通过 SageMaker 创建的网络接口,而该接口实质上是通过公共 Internet。到网关 VPC 终端节点(如 Amazon S3 和 DynamoDB)的流量通过公共 Internet,而到接口 VPC 终端节点(接口终端节点)的流量仍通过您的 VPC。如果要使用网关 VPC 终端节点,您可能希望禁用直接 Internet 访问。

要禁用直接 Internet 访问,您可以为笔记本实例指定一个 VPC。通过这样做,您可以阻止 SageMaker 提供对您的笔记本实例的 Internet 访问权限。因此,笔记本实例无法训练或托管模型,除非您的 VPC 具有接口终端节点 (PrivateLink) 或 NAT 网关,并且安全组允许出站连接。

有关创建 VPC 接口终端节点以将 AWS PrivateLink 用于笔记本实例的信息,请参阅通过 VPC 接口终端节点连接到笔记本实例。有关为 VPC 设置 NAT 网关的信息,请参阅 Amazon Virtual Private Cloud 用户指南 中的带有公有子网和私有子网 (NAT) 的 VPC。有关安全组的信息,请参阅您的 VPC 的安全组。有关每种网络模式下的网络配置以及本地配置网络的更多信息,请参阅了解 Amazon SageMaker 笔记本实例网络配置和高级路由选项

安全性和共享笔记本实例

笔记本实例最适合单个用户。SageMaker它旨在为数据科学家和其他用户提供管理开发环境的最强大功能。

笔记本实例用户具有安装程序包和其他相关软件的根访问权限。对于连接到包含敏感信息的 VPC 的笔记本实例,建议您在授予其相关的个人访问权限时谨慎处理。例如,您可以使用 IAM 策略向用户授予对笔记本实例的访问权限,如以下示例所示:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sagemaker:CreatePresignedNotebookInstanceUrl", "Resource": "arn:aws:sagemaker:region:account-id:notebook-instance/myNotebookInstance" } ] }