のノートブックインスタンスVPCを外部リソースに接続する

次のトピックでは、 のノートブックインスタンスをVPC外部リソースに接続する方法について説明します。

インターネットとのデフォルトの通信

ノートブックが への直接インターネットアクセスを許可する場合、 SageMakerは、ノートブックが によってVPC管理される を介してインターネットと通信できるようにするネットワークインターフェイスを提供します SageMaker。内のトラフィックCIDRはVPC、 で作成された Elastic Network Interface を通過しますVPC。他のすべてのトラフィックは SageMaker、 によって作成されたネットワークインターフェイスを通過します。これは基本的にパブリックインターネット経由です。Amazon S3 や DynamoDB などのゲートウェイVPCエンドポイントへのトラフィックはパブリックインターネットを通過しますが、VPCインターフェイスエンドポイントへのトラフィックは引き続き を通過しますVPC。ゲートウェイVPCエンドポイントを使用する場合は、直接インターネットアクセスを無効にすることもできます。

インターネットとの VPC 通信

直接インターネットアクセスを無効にするには、ノートブックインスタンスVPCの を指定できます。これにより、ノートブックインスタンスへのインターネットアクセス SageMaker の提供ができなくなります。そのため、 にインターフェイスエンドポイント (AWS PrivateLink) またはNATゲートウェイVPCがあり、セキュリティグループがアウトバウンド接続を許可しない限り、ノートブックインスタンスはモデルをトレーニングまたはホストできません。

ノートブックインスタンスに使用するVPCインターフェイスエンドポイントの作成については、 AWS PrivateLink 「」を参照してくださいVPC インターフェイスエンドポイント経由でノートブックインスタンスに接続する。のNATゲートウェイの設定についてはVPC、Amazon Virtual Private Cloud VPC Private Cloud ユーザーガイドの「パブリックサブネットとプライベートサブネット (NAT）」を参照してください。セキュリティグループの詳細については、「 のセキュリティグループVPC」を参照してください。各ネットワークモードのネットワーク設定とオンプレミスのネットワーク設定の詳細については、「Amazon SageMaker Notebook インスタンスのネットワーク設定と高度なルーティングオプションについて」を参照してください。

セキュリティと共有ノートブックインスタンス

SageMaker ノートブックインスタンスは、個々のユーザーに最適に動作するように設計されています。データサイエンティストやその他のユーザーが開発環境の管理に最大限の能力を発揮できるように設計されています。

ノートブックインスタンスユーザーには、パッケージとその他の関連ソフトウェアをインストールするためのルートアクセス権があります。機密情報VPCを含む にアタッチされているノートブックインスタンスへのアクセスを個人に付与する場合は、判断を下すことをお勧めします。例えば、次の例に示すように、IAMポリシーを使用してノートブックインスタンスへのアクセスをユーザーに許可できます。

{
  "Version": "2012-10-17",
  "Statement": [
   {
      "Effect": "Allow",
      "Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
      "Resource": "arn:aws:sagemaker:region:account-id:notebook-instance/myNotebookInstance"
   }
  ]
}