VPC 内のノートブックインスタンスを外部リソースに接続する

次のトピックでは、VPC 内のノートブックインスタンスを外部リソースに接続する方法について説明します。

インターネットとのデフォルトの通信

ノートブックが直接インターネットアクセスを許可すると、SageMaker AI は、ノートブックが SageMaker AI によって管理される VPC を介してインターネットと通信できるようにするネットワークインターフェイスを提供します。VPC の CIDR 内のトラフィックは、VPC で作成された Elastic Network Interface を経由します。他のすべてのトラフィックは、SageMaker AI によって作成されたネットワークインターフェイスを経由します。これは基本的にパブリックインターネットを経由します。Amazon S3 や DynamoDB などのゲートウェイ VPC エンドポイントへのトラフィックは、パブリックインターネットを通過しますが、インターフェイス VPC エンドポイントへのトラフィックは引き続き VPC を通過します。ゲートウェイ VPC エンドポイントを使用する場合は、直接インターネットアクセスを無効にすることもできます。

インターネットとの VPC 通信

直接インターネットアクセスを無効にするには、ノートブックインスタンスの VPC を指定します。これにより、SageMaker AI がノートブックインスタンスにインターネットアクセスを提供できなくなります。その結果、VPC にインターフェイスエンドポイント (AWS PrivateLink) または NAT ゲートウェイがあり、セキュリティグループでアウトバウンド接続が許可されている場合を除き、ノートブックインスタンスはモデルをトレーニングまたはホストできません。

ノートブックインスタンスに使用する VPC インターフェイスエンドポイントの作成については、 AWS PrivateLink 「」を参照してくださいVPC インターフェイスエンドポイントを介してノートブックインスタンスに接続する。VPC 用の NAT ゲートウェイのセットアップについては、Amazon VPC ユーザーガイドの「パブリックサブネットとプライベートサブネットを持つ VPC (NAT)」を参照してください。セキュリティグループについては、「VPC のセキュリティグループ」を参照してください。各ネットワークモードでのネットワーク設定およびオンプレミスのネットワーク設定の詳細については、「Amazon SageMaker ノートブックインスタンスのネットワーク設定と高度なルーティングオプションについて理解する」を参照してください。

セキュリティと共有ノートブックインスタンス

SageMaker ノートブックインスタンスは、個々のユーザーに対して最適に動作するように設計されています。データサイエンティストやその他のユーザーが開発環境の管理に最大限の能力を発揮できるように設計されています。

ノートブックインスタンスユーザーには、パッケージとその他の関連ソフトウェアをインストールするためのルートアクセス権があります。機密情報を含む、VPC にアタッチされたノートブックインスタンスへのアクセス権を個々のユーザーに付与する際には、適切な判断を行うことをお勧めします。例えば、次の例に示すように、署名付きノートブック URL を作成できるようにすることで、IAM ポリシーを持つノートブックインスタンスへのアクセス権をユーザーに付与できます。

{
  "Version": "2012-10-17",
  "Statement": [
   {
      "Effect": "Allow",
      "Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
      "Resource": "arn:aws:sagemaker:region:account-id:notebook-instance/myNotebookInstance"
   }
  ]
}