Connecter une instance de bloc-notes dans un VPC à des ressources externes - Amazon SageMaker

Connecter une instance de bloc-notes dans un VPC à des ressources externes

La rubrique suivante fournit des informations sur la manière de connecter votre instance de bloc-notes dans un VPC à des ressources externes.

Communication par défaut avec Internet

Lorsque votre bloc-notes permet un accès direct à Internet, SageMaker fournit une interface réseau qui permet au bloc-notes de communiquer avec Internet via un VPC géré par SageMaker. Le trafic dans le CIDR de votre VPC passe par l'interface réseau Elastic créée dans votre VPC. Tout le reste du trafic passera par l'interface réseau créée par SageMaker, c'est-à-dire essentiellement à travers l'internet public. Le trafic vers les points de terminaison d'un VPC d'une passerelle comme Amazon S3 et DynamoDB passera par l'Internet public, tandis que le trafic vers les points de terminaison d'un VPC d'interface passera toujours par votre VPC. Si vous souhaitez utiliser les points de terminaison d'un VPC d'une passerelle, vous pouvez désactiver l'accès direct à Internet.

Communication VPC avec Internet

Pour désactiver l'accès direct à Internet, vous pouvez spécifier un VPC pour votre instance de bloc-notes. Vous empêchez ainsi SageMaker de fournir un accès à Internet à votre instance de bloc-notes. Par conséquent, l'instance de bloc-notes ne peut pas entraîner ou héberger des modèles, sauf si votre VPC dispose d'un point de terminaison d'interface (AWS PrivateLink) ou d'une passerelle NAT et que vos groupes de sécurité autorisent les connexions sortantes.

Pour obtenir des informations sur la création d'un point de terminaison d'interface VPC pour utiliser AWS PrivateLink pour votre instance de bloc-notes, veuillez consulter Connexion à une instance de bloc-notes via un point de terminaison d'interface VPC.. Pour obtenir des informations sur la configuration d'une passerelle NAT pour votre VPC, veuillez consulter VPC avec des sous-réseaux publics et privés (NAT) dans le Guide de l'utilisateur Amazon Virtual Private Cloud. Pour plus d'informations sur les groupes de sécurité, consultez Groupes de sécurité pour votre VPC. Pour plus d'informations sur les configurations de mise en réseau dans chaque mode de mise en réseau et sur la configuration du réseau sur site, veuillez consulter Understanding Amazon SageMaker notebook instance networking configurations and advanced routing options.

Instances de sécurité et de blocs-notes partagés

Une instance de bloc-notes SageMaker est conçue pour donner les meilleurs résultats pour un utilisateur individuel. Elle est conçue pour offrir aux spécialistes des données et aux autres utilisateurs une puissance maximale pour la gestion de leur environnement de développement.

Un utilisateur d'instance de bloc-notes possède un accès racine pour l'installation de packages et d'autres logiciels pertinents. Nous vous recommandons de bien réfléchir avant d'accorder à des utilisateurs individuels un accès à des instances de bloc-notes attachées à un VPC contenant des informations sensibles. Par exemple, vous pouvez accorder à un utilisateur l'accès à une instance de bloc-notes avec une politique IAM, comme illustré dans l'exemple suivant :

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sagemaker:CreatePresignedNotebookInstanceUrl", "Resource": "arn:aws:sagemaker:region:account-id:notebook-instance/myNotebookInstance" } ] }