Standardkommunikation mit dem Internet VPC-Kommunikation mit dem Internet Sicherheit und gemeinsam genutzte Notebook-Instances

Verbinden einer Notebook-Instance in einer VPC mit externen Ressourcen

Das folgende Thema enthält Informationen dazu, wie Sie Ihre Notebook-Instance in einer VPC mit externen Ressourcen verbinden.

Standardkommunikation mit dem Internet

Wenn Ihr Notebook direkten Internetzugang ermöglicht, SageMaker bietet es eine Netzwerkschnittstelle, über die das Notebook über eine VPC, die von verwaltet wird SageMaker, mit dem Internet kommunizieren kann. Der Verkehr innerhalb der CIDR Ihrer VPC läuft über die elastische Netzwerkschnittstelle, die in Ihrer VPC erstellt wurde. Der gesamte andere Datenverkehr wird über die von erstellte Netzwerkschnittstelle abgewickelt SageMaker, die im Wesentlichen über das öffentliche Internet erfolgt. Der Datenverkehr zu Gateway-VPC-Endpunkten wie Amazon S3 und DynamoDB läuft über das öffentliche Internet, während der Datenverkehr zu Schnittstellen-VPC-Endpunkten weiterhin über Ihre VPC läuft. Wenn Sie Gateway-VPC-Endpunkte verwenden möchten, sollten Sie den direkten Internetzugang deaktivieren.

VPC-Kommunikation mit dem Internet

Um den direkten Internetzugriff zu deaktivieren, können Sie eine VPC für Ihre Notebook-Instance angeben. Auf diese Weise SageMaker verhindern Sie, dass Sie Ihrer Notebook-Instanz Internetzugang gewähren. Infolgedessen kann die Notebook-Instance keine Modelle trainieren oder hosten, es sei denn, Ihre VPC verfügt über einen Schnittstellenendpunkt (AWS PrivateLink) oder ein NAT-Gateway und Ihre Sicherheitsgruppen erlauben ausgehende Verbindungen.

Informationen zum Erstellen eines VPC-Schnittstellenendpunkts, der AWS PrivateLink für Ihre Notebook-Instance verwendet werden soll, finden Sie unterHerstellen einer Verbindung zu einer Notebook-Instance über einen VPC-Schnittstellenendpunkt. Informationen zum Einrichten eines NAT-Gateways für Ihre VPC finden Sie unter VPC with Public and Private Subnets (NAT) im Amazon Virtual Private Cloud User Guide. Weitere Informationen zu Sicherheitsgruppen finden Sie unter Sicherheitsgruppen für Ihre VPC. Weitere Informationen zu Netzwerkkonfigurationen in den einzelnen Netzwerkmodi und zur Konfiguration des Netzwerks vor Ort finden Sie unter Grundlegendes zu Netzwerkkonfigurationen und erweiterten Routing-Optionen von Amazon SageMaker Notebook-Instances.

Sicherheit und gemeinsam genutzte Notebook-Instances

Eine SageMaker Notebook-Instance ist so konzipiert, dass sie für einen einzelnen Benutzer am besten funktioniert. Damit erhalten Datenexperten und andere Benutzer eine leistungsstarke Verwaltung für ihre Entwicklungsumgebung.

Ein Notebook-Instance-Benutzer hat Root-Zugriff, um Pakete und andere relevante Software zu installieren. Wir empfehlen, dass Sie Vorsicht walten lassen, wenn Sie einzelnen Benutzern Zugriff auf Notebook-Instances gewähren, die mit einer VPC verbunden sind, welche vertrauliche Informationen enthält. Sie können beispielsweise einem Benutzer mittels einer IAM-Richtlinie Zugriff auf eine Notebook-Instance gewähren, wie im folgenden Beispiel dargestellt:


{
  "Version": "2012-10-17",
  "Statement": [
   {
      "Effect": "Allow",
      "Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
      "Resource": "arn:aws:sagemaker:region:account-id:notebook-instance/myNotebookInstance"
   }
  ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Studio-Notebooks in einer VPC mit externen Ressourcen Connect

Ausführen von Trainings- und Inferenzcontainern in Internet-freier Modus