将 SageMaker Studio 笔记本连接到 VPC 中的资源 - Amazon SageMaker
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 SageMaker Studio 笔记本连接到 VPC 中的资源

Amazon SageMaker Studio 默认允许直接 Internet 访问。这可能会提供一个未经授权访问您的数据的途径。例如,如果您在计算机上安装恶意代码 (以公开发布的笔记本或公开发布的源代码库形式),则它可以访问您的 数据。您可以选择通过在您选择的 Virtual Private Cloud (VPC) 中启动 Studio 来限制哪些流量可以访问 Internet。这使您能够精细地控制 SageMaker Studio 笔记本的网络访问和 Internet 连接。您可以禁用直接访问 Internet,以增加一层安全性。

默认情况下,SageMaker Studio 提供网络接口,允许通过由 SageMaker 管理的 VPC 与 Internet 通信。到 AWS 服务(如 Amazon S3 和 CloudWatch)的流量通过 Internet 网关传输,就像访问 SageMaker API 和 SageMaker 运行时的流量一样。域与您的 Amazon EFS 卷之间的流量将通过您在注册到 Studio 或调用 CreateDomain API 时指定的 VPC 传输。下图显示了默认配置。

使用直接 Internet 访问的 SageMaker Studio VPC 的示意图

要禁用直接 Internet 访问,您可以在注册 Studio 或调用 VPC onlyCreateDomain API 时指定 网络访问类型。这样做可以防止 SageMaker 提供对您的 Studio 笔记本的 Internet 访问。因此,除非您的 VPC 具有连接到 SageMaker API 和运行时的接口终端节点,或具有 NAT 网关,并且安全组允许出站连接,否则,您将无法运行 Studio 笔记本。下图显示了使用仅限 VPC 模式的配置。

使用仅 VPC 模式的 SageMaker Studio VPC 示意图

中的 VPC 要求 VpcOnly

当您选择 VpcOnly 时,您的 VPC 必须包含以下内容:

  • 每个实例具有一个 IP 地址的子网。有关更多信息,请参阅 的 VPC 和子网大小调整IPv4。

    注意

    您只能使用默认租赁 VPC 配置子网,其中您的实例在共享硬件上运行。有关 VPCs 租赁属性的更多信息,请参阅专用实例

  • 一个或多个安全组,其入站和出站规则一起允许以下流量:

    • 域和 Amazon EFS 卷之间端口 2049 上通过 TCP 的 NFS 流量。

    • 安全组中的 TCP 流量。这是 JupyterServer 应用程序和 KernelGateway 应用程序之间的连接所必需的。

  • 如果要允许 Internet 访问,则必须附加 Internet 网关或 NAT 网关。

  • 如果您不想允许 Internet 访问,则必须创建接口 VPC 终端节点 (AWS PrivateLink) 来访问以下内容:

    • API 和 SageMaker 运行时。SageMaker这是运行 Studio 笔记本以及训练和托管模型所必需的。

    • Amazon S3 和您需要的其他 AWS 服务。

    您必须将 VPC 的安全组与这些终端节点关联。