Comunicazione predefinita con Internet Comunicazione VPC con Internet Sicurezza e istanze del notebook condivise

Connect un'istanza Notebook in VPC a risorse esterne

Il seguente argomento fornisce informazioni su come connettere l'istanza del notebook in a VPC a risorse esterne.

Comunicazione predefinita con Internet

Quando il notebook consente l'accesso diretto a Internet, SageMaker fornisce un'interfaccia di rete che consente al notebook di comunicare con Internet tramite un VPC managed by SageMaker. Il traffico interno a te VPC CIDR passa attraverso l'interfaccia elastica di rete creata nel tuoVPC. Tutto il resto del traffico passa attraverso l'interfaccia di rete creata da SageMaker, che è essenzialmente attraverso la rete Internet pubblica. Il traffico verso gli VPC endpoint gateway come Amazon S3 e DynamoDB passa attraverso la rete Internet pubblica, mentre il traffico verso gli endpoint dell'interfaccia di VPC interfaccia passa comunque attraverso il tuo. VPC Se desideri utilizzare gli VPC endpoint gateway, potresti voler disabilitare l'accesso diretto a Internet.

Comunicazione VPC con Internet

Per disabilitare l'accesso diretto a Internet, puoi specificare un'istanza VPC per il tuo notebook. In questo modo, si SageMaker impedisce di fornire l'accesso a Internet all'istanza del notebook. Di conseguenza, l'istanza notebook non può addestrare o ospitare modelli a meno che non si VPC disponga di un endpoint di interfaccia (AWS PrivateLink) o di un NAT gateway e i gruppi di sicurezza consentano connessioni in uscita.

Per informazioni sulla creazione di un endpoint di VPC interfaccia da utilizzare AWS PrivateLink per l'istanza del notebook, consulta. Connect a un'istanza Notebook tramite un endpoint di VPC interfaccia Per informazioni sulla configurazione di un NAT gateway per il tuoVPC, VPCconsulta Public and Private Subnet (NAT) nella Amazon Virtual Private Cloud User Guide. Per informazioni sui gruppi di sicurezza, consulta Security Groups for Your. VPC Per ulteriori informazioni sulle configurazioni di rete in ciascuna modalità di rete e sulla configurazione della rete in locale, consulta Comprendere le configurazioni di rete delle istanze di SageMaker notebook Amazon e le opzioni di routing avanzate.

Sicurezza e istanze del notebook condivise

Un'istanza SageMaker notebook è progettata per funzionare al meglio per un singolo utente. È progettata per offrire ai data scientist e ad altri utenti più potere per la gestione del proprio ambiente di sviluppo.

Un utente di istanza del notebook dispone di accesso root per l'installazione di pacchetti e altri software pertinenti. Si consiglia di esercitare il proprio giudizio quando si concede agli utenti l'accesso alle istanze di Notebook allegate a un file VPC che contiene informazioni riservate. Ad esempio, è possibile concedere a un utente l'accesso a un'istanza di notebook con una IAM policy, come illustrato nell'esempio seguente:


{
  "Version": "2012-10-17",
  "Statement": [
   {
      "Effect": "Allow",
      "Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
      "Resource": "arn:aws:sagemaker:region:account-id:notebook-instance/myNotebookInstance"
   }
  ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Connetti i notebook di Studio a risorse esterne VPC

Esecuzione di container di addestramento e inferenza in modalità Internet-Free