本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

配置 Studio 和数据源之间的网络访问权限（适用于管理员）

本节提供有关管理员如何配置网络以实现亚马逊 SageMaker Studio 与 Amazon Redshift 或 Amazon A thena 之间在私有亚马逊内部或通过互联网进行通信的信息。VPC根据 Studio 域和数据存储是部署在私有 Amazon Virtual Private Cloud (VPC) 中还是通过互联网进行通信的不同，联网说明会有所不同。

默认情况下，Studio 在可访问互联网VPC的 AWS 托管环境中运行。使用互联网连接时，Studio 会通过互联网访问 AWS 资源，例如 Amazon S3 存储桶。但是，如果您有安全要求来控制对数据和任务容器的访问，我们建议您配置 Studio 和您的数据存储（Amazon Redshift 或 Athena），以便无法通过互联网访问您的数据和容器。要控制对资源的访问或在没有公共互联网访问的情况下运行 Studio，您可以在加入 Amazon SageMaker 域时指定VPC only网络访问类型。在这种情况下，Studio 通过私有VPC端点与其他 AWS 服务建立连接。有关在VPC only模式下配置 Studio 的信息，请参阅中的 Connect Studio 连接到外部资源VPC。

前两节介绍如何在VPCs没有公共互联网访问的情况下确保您的 Studio 域和数据存储之间的通信。最后一节介绍如何使用互联网连接确保 Studio 与您的数据存储之间的通信。在没有互联网访问权限的情况下连接 Studio 和您的数据存储之前，请务必为亚马逊简单存储服务、Amazon Redshift 或 Athena 以及亚马逊和（记录 SageMaker和监控）建立终端节点。 CloudWatch AWS CloudTrail

Studio 和数据存储是分开部署的 VPCs

要允许 Studio 与部署在不同位置的数据存储之间进行通信，请执行VPCs以下操作：

无论将 Studio 和数据存储部署在单个 AWS 账户中还是在不同的 AWS 账户中部署，配置步骤都是一样的。

Studio 和数据存储部署在同一个地方 VPC

如果 Studio 和数据存储位于相同的不同私有子网中VPC，请在每个私有子网的路由表中添加路由。这些路由应允许流量在 Studio 子网和数据存储子网之间流动。您可以通过转到VPC仪表板VPC中每条路由的 “路由表” 部分来定义这些路由。如果您将 Studio 和数据存储部署在同一个子网中，则无需路由流量。VPC

无论路由表更新如何，Studio 域的安全组都VPC必须允许出站流量，而数据存储的安全组VPC必须允许来自其端口的 Studio VPC 安全组的入站流量。

Studio 和数据存储通过公共互联网进行通信

默认情况下，Studio 提供网络接口，允许通过与 Studio 域VPC关联的互联网网关与互联网进行通信。如果您选择通过公共 Internet 连接到数据存储，则您的数据存储需要接受其端口上的入站流量。

必须使用NAT网关来允许多个VPCs私有子网中的实例在访问互联网时共享互联网网关提供的单个公有 IP 地址。