のノートブックインスタンスVPCを外部リソースに接続する

次のトピックでは、 のノートブックインスタンスをVPC外部リソースに接続する方法について説明します。

インターネットとのデフォルトの通信

ノートブックが への直接インターネットアクセスを許可すると、 SageMaker は、ノートブックが によってVPC管理される を介してインターネットと通信できるようにするネットワークインターフェイスを提供します SageMaker。VPCの 内のトラフィックCIDRは、 で作成された Elastic Network Interface を経由しますVPC。他のすべてのトラフィックは、 によって作成されたネットワークインターフェイスを経由します。 SageMakerこれは基本的にパブリックインターネットを経由します。Amazon S3 や DynamoDB などのゲートウェイVPCエンドポイントへのトラフィックはパブリックインターネットを経由しますが、VPCインターフェイスエンドポイントへのトラフィックは引き続き を経由しますVPC。ゲートウェイVPCエンドポイントを使用する場合は、インターネットへの直接アクセスを無効にすることができます。

インターネットとの VPC 通信

直接インターネットアクセスを無効にするには、ノートブックインスタンスVPCの を指定します。これにより、 SageMaker がノートブックインスタンスにインターネットアクセスを提供できなくなります。その結果、 にVPCインターフェイスエンドポイント (AWS PrivateLink) またはNATゲートウェイとセキュリティグループはアウトバウンド接続を許可します。

使用するVPCインターフェイスエンドポイントの作成については、「」を参照してください。 AWS PrivateLink ノートブックインスタンスについては、「」を参照してくださいVPC インターフェイスエンドポイント経由でノートブックインスタンスに接続する。のNATゲートウェイの設定についてはVPC、Amazon Virtual VPC Private Cloud ユーザーガイドの「パブリックサブネットとプライベートサブネット (NAT) を使用する」を参照してください。 Amazon Virtual Private Cloud セキュリティグループの詳細については、「 のセキュリティグループVPC」を参照してください。各ネットワークモードでのネットワーク設定とオンプレミスネットワークの設定の詳細については、「Amazon SageMaker Notebook インスタンスのネットワーク設定と高度なルーティングオプションについて」を参照してください。

セキュリティと共有ノートブックインスタンス

SageMaker ノートブックインスタンスは、個々のユーザーに最適に動作するように設計されています。データサイエンティストやその他のユーザーが開発環境の管理に最大限の能力を発揮できるように設計されています。

ノートブックインスタンスユーザーには、パッケージとその他の関連ソフトウェアをインストールするためのルートアクセス権があります。機密情報を含む にアタッチされているノートブックインスタンスへのアクセス権を個人に付与する場合はVPC、判断を下すことをお勧めします。例えば、次の例に示すように、 IAMポリシーを使用してノートブックインスタンスへのアクセス権をユーザーに付与できます。

{
  "Version": "2012-10-17",
  "Statement": [
   {
      "Effect": "Allow",
      "Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
      "Resource": "arn:aws:sagemaker:region:account-id:notebook-instance/myNotebookInstance"
   }
  ]
}