翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
VPC 内のノートブックインスタンスを外部リソースに接続する
次のトピックでは、VPC 内のノートブックインスタンスを外部リソースに接続する方法について説明します。
インターネットとのデフォルトの通信
ノートブックで許可されている場合インターネットへの直接アクセス、 SageMaker管理された VPC を使ってインターネットと通信できる IAM インターフェースを提供します。 SageMaker。VPC の CIDR 内のトラフィックは、VPC で作成された Elastic Network Interface を経由します。他のすべてのトラフィックは、によって作成されたネットワークインターフェースを通過します。 SageMakerこれは基本的に公共のインターネットを通じて行われます。Amazon S3 や DynamoDB などのゲートウェイ VPC エンドポイントへのトラフィックは、パブリックインターネットを通過しますが、インターフェイス VPC エンドポイントへのトラフィックは引き続き VPC を通過します。ゲートウェイ VPC エンドポイントを使用する場合は、直接インターネットアクセスを無効にすることもできます。
インターネットとの VPC 通信
直接インターネットアクセスを無効にするには、ノートブックインスタンスの VPC を指定します。そうすることで、防止できます SageMaker ノートブックインスタンスへのインターネットアクセスの提供から。その結果、VPC にインターフェイスエンドポイント (AWS PrivateLink) または NAT ゲートウェイがあり、セキュリティグループでアウトバウンド接続が許可されている場合を除き、ノートブックインスタンスはモデルをトレーニングまたはホストできません。
VPC インターフェイスエンドポイントを作成して、ノートブックインスタンス用に AWS PrivateLink を使用する方法の詳細については、「VPC インターフェイスエンドポイントを介してノートブックインスタンスに接続する」を参照してください。VPC 用の NAT ゲートウェイのセットアップについては、Amazon Virtual Private Cloud ユーザーガイドの「パブリックサブネットとプライベートサブネットを持つ VPC (NAT)」を参照してください。セキュリティグループについては、「VPC のセキュリティグループ」を参照してください。各ネットワークモードのネットワーク設定とオンプレミスネットワークの設定の詳細については、を参照してください。アマゾンを理解する SageMaker ノートブックインスタンスのネットワーク設定と高度なルーティングオプション
セキュリティと共有ノートブックインスタンス
ある SageMaker ノートブックインスタンスは、個々のユーザーに最適に機能するように設計されています。データサイエンティストやその他のユーザーが開発環境の管理に最大限の能力を発揮できるように設計されています。
ノートブックインスタンスユーザーには、パッケージとその他の関連ソフトウェアをインストールするためのルートアクセス権があります。機密情報を含む、VPC にアタッチされたノートブックインスタンスへのアクセス権を個々のユーザーに付与する際には、適切な判断を行うことをお勧めします。例えば、次の例に示すように、IAM ポリシーでノートブックインスタンスへのアクセス権をユーザーに付与できます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sagemaker:CreatePresignedNotebookInstanceUrl", "Resource": "arn:aws:sagemaker:
region
:account-id
:notebook-instance/myNotebookInstance" } ] }