本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

設定 Studio 和資料來源之間的網路存取 （適用於管理員）

本節提供管理員如何設定網路以啟用 Amazon SageMaker Studio 與 Amazon Redshift 或 Amazon Athena之間通訊的相關資訊，無論是在私有 Amazon 內VPC或透過網際網路。網路指示會根據 Studio 網域和資料存放區是否部署在私有 Amazon Virtual Private Cloud （VPC） 內或透過網際網路通訊而有所不同。

根據預設，Studio VPC會在具有網際網路存取 的 AWS 受管 中執行。使用網際網路連線時，Studio 會透過網際網路存取 AWS 資源，例如 Amazon S3 儲存貯體。不過，如果您有安全需求來控制對資料和任務容器的存取，建議您設定 Studio 和資料存放區 （Amazon Redshift 或 Athena），以便無法透過網際網路存取您的資料和容器。若要控制資源的存取，或在沒有公有網際網路存取的情況下執行 Studio，您可以在加入 Amazon SageMaker 網域 時指定VPC only網路存取類型。在此案例中，Studio 會透過私有VPC端點 與其他 AWS 服務建立連線。如需在 VPC only 模式下設定 Studio 的相關資訊，請參閱將 Studio 連線至 中的外部資源VPC。

前兩個章節說明如何確保 Studio 網域與 中的資料存放區之間的通訊VPCs，而無需公有網際網路存取。最後一節說明如何確保 Studio 與資料存放區之間使用網際網路連線進行通訊。在沒有網際網路存取的情況下連接 Studio 和資料存放區之前，請務必為 Amazon Simple Storage Service、Amazon Redshift 或 Athena SageMaker以及 Amazon CloudWatch 和 AWS CloudTrail （記錄和監控） 建立端點。

Studio 和資料存放區分別部署 VPCs

若要允許 Studio 與部署在不同 的資料存放區之間的通訊VPCs：

無論 Studio 和資料存放區部署在單一 AWS 帳戶或跨不同 AWS 帳戶，組態步驟都相同。

Studio 和資料存放區部署在相同的 VPC

如果 Studio 和資料存放區位於相同 的不同私有子網路中VPC，請在每個私有子網路的路由表中新增路由。路由應允許流量在 Studio 子網路和資料存放區子網路之間流動。您可以前往VPC儀表板VPC中每個 的路由表區段來定義這些路由。如果您將 Studio 和資料存放區部署在相同VPC子網路中，則不需要路由流量。

無論任何路由表更新為何，Studio 網域的安全群組VPC都必須允許傳出流量，而資料存放區的安全群組VPC必須允許來自 Studio VPC安全群組的連接埠傳入流量。

Studio 和資料存放區透過公有網際網路進行通訊

根據預設，Studio 提供網路介面，允許透過與 Studio 網域VPC相關聯的 中的網際網路閘道與網際網路通訊。如果您選擇透過公有網際網路連線至資料存放區，則資料存放區需要接受連接埠上的傳入流量。

必須使用NAT閘道來允許多個私有子網路中的執行個體VPCs在存取網際網路時共用網際網路閘道提供的單一公有 IP 地址。