本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

將 中的筆記本執行個體VPC連接至外部資源

下列主題提供如何在 中將筆記本執行個體連線至VPC外部資源的相關資訊。

與網際網路的預設通訊

當您的筆記本允許直接網際網路存取 時， SageMaker 會提供網路介面，允許筆記本透過 VPC管理的 與網際網路通訊 SageMaker。內流量CIDR會經過在 中建立VPC的彈性網路介面VPC。所有其他流量都會經過 建立的網路介面 SageMaker，基本上是透過公有網際網路。Amazon S3 和 DynamoDB 等閘道VPC端點的流量會經過公有網際網路，而VPC介面端點的流量仍會經過您的 VPC。如果您想要使用閘道VPC端點，您可能想要停用直接網際網路存取。

與網際網路的 VPC 通訊

若要停用直接網際網路存取，您可以VPC為筆記本執行個體指定 。如此一來，您 SageMaker 便無法提供筆記本執行個體的網際網路存取權。因此，除非您的 VPC具有介面端點 （AWS PrivateLink） 或NAT閘道，且您的安全群組允許傳出連線，否則筆記本執行個體無法訓練或託管模型。

如需建立用於筆記本執行個體 AWS PrivateLink 的VPC介面端點的相關資訊，請參閱 透過VPC介面端點連線至筆記本執行個體。如需為 設定NAT閘道的相關資訊VPC，請參閱 Amazon Virtual Private Cloud 使用者指南中的VPC使用公有和私有子網路 （NAT）。如需有關安全群組的資訊，請參閱您 的安全群組VPC。如需每個聯網模式的網路組態和內部部署網路的詳細資訊，請參閱了解 Amazon SageMaker 筆記本執行個體聯網組態和進階路由選項 。

安全性與共用筆記本執行個體

SageMaker 筆記本執行個體的設計最適合個別使用者。其設計旨在為資料科學家及其他使用者提供最強大的開發環境管理能力。

筆記本執行個體的使用者擁有根存取權限，可安裝套件及其他相關軟體。建議您在授予個人存取連接至包含敏感資訊VPC之 的筆記本執行個體時，執行判斷。例如，您可以使用 IAM政策授予使用者對筆記本執行個體的存取權，如下列範例所示：

{
  "Version": "2012-10-17",
  "Statement": [
   {
      "Effect": "Allow",
      "Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
      "Resource": "arn:aws:sagemaker:region:account-id:notebook-instance/myNotebookInstance"
   }
  ]
}