翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
のノートブックインスタンスVPCを外部リソースに接続する
次のトピックでは、 のノートブックインスタンスをVPC外部リソースに接続する方法について説明します。
インターネットとのデフォルトの通信
ノートブックが直接インターネットアクセスを許可すると、 SageMaker AI はノートブックが SageMaker AI によってVPC管理される を介してインターネットと通信できるようにするネットワークインターフェイスを提供します。VPCの 内のトラフィックCIDRは、 で作成された Elastic Network Interface を通過しますVPC。他のすべてのトラフィックは、 SageMaker AI によって作成されたネットワークインターフェイスを経由します。これは基本的にパブリックインターネットを経由します。Amazon S3 や DynamoDB などのゲートウェイVPCエンドポイントへのトラフィックはパブリックインターネットを通過しますが、VPCインターフェイスエンドポイントへのトラフィックは引き続き を通過しますVPC。ゲートウェイVPCエンドポイントを使用する場合は、直接インターネットアクセスを無効にすることができます。
インターネットとの VPC 通信
直接インターネットアクセスを無効にするには、ノートブックインスタンスVPCの を指定します。これにより、 SageMaker AI がノートブックインスタンスへのインターネットアクセスを提供できなくなります。その結果、 にインターフェイスエンドポイント (AWS PrivateLink) またはNATゲートウェイVPCがあり、セキュリティグループがアウトバウンド接続を許可しない限り、ノートブックインスタンスはモデルをトレーニングまたはホストできません。
ノートブックインスタンスに使用するVPCインターフェイスエンドポイントの作成については、 AWS PrivateLink 「」を参照してくださいVPC インターフェイスエンドポイント経由でノートブックインスタンスに接続する。のNATゲートウェイの設定についてはVPC、「Amazon Virtual VPC Private Cloud ユーザーガイド」の「パブリックサブネットとプライベートサブネット (NAT) を使用する」を参照してください。 Amazon Virtual Private Cloud セキュリティグループの詳細については、「 のセキュリティグループVPC」を参照してください。各ネットワークモードでのネットワーク設定とオンプレミスネットワークの設定の詳細については、「Amazon SageMaker ノートブックインスタンスのネットワーク設定と高度なルーティングオプションについて
セキュリティと共有ノートブックインスタンス
SageMaker ノートブックインスタンスは、個々のユーザーに最適な動作をするように設計されています。データサイエンティストやその他のユーザーが開発環境の管理に最大限の能力を発揮できるように設計されています。
ノートブックインスタンスユーザーには、パッケージとその他の関連ソフトウェアをインストールするためのルートアクセス権があります。機密情報VPCを含む にアタッチされているノートブックインスタンスへのアクセス権を個人に付与する場合は、判断を下すことをお勧めします。たとえば、次の例に示すように、 IAMポリシーを使用してノートブックインスタンスへのアクセスをユーザーに許可できます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sagemaker:CreatePresignedNotebookInstanceUrl", "Resource": "arn:aws:sagemaker:
region
:account-id
:notebook-instance/myNotebookInstance" } ] }