Verbinden einer Notebook-Instance in einer VPC mit externen Ressourcen - Amazon SageMaker AI
Standardkommunikation mit dem InternetNur-VPC-Kommunikation mit dem InternetSicherheit und gemeinsam genutzte Notebook-Instances

Verbinden einer Notebook-Instance in einer VPC mit externen Ressourcen

Das folgende Thema enthält Informationen dazu, wie Sie Ihre Notebook-Instance in einer VPC mit externen Ressourcen verbinden.

Standardkommunikation mit dem Internet

Wenn Ihr Notebook den direkten Internetzugriff erlaubt, bietet SageMaker AI eine Netzwerkschnittstelle, die es dem Notebook ermöglicht, über eine von SageMaker AI verwaltete VPC mit dem Internet zu kommunizieren. Der Verkehr innerhalb der CIDR Ihrer VPC läuft über die elastische Netzwerkschnittstelle, die in Ihrer VPC erstellt wurde. Der gesamte übrige Datenverkehr läuft über die von SageMaker AI erstellte Netzwerkschnittstelle, die im Wesentlichen über das öffentliche Internet läuft. Der Datenverkehr zu Gateway-VPC-Endpunkten wie Amazon S3 und DynamoDB läuft über das öffentliche Internet, während der Datenverkehr zu Schnittstellen-VPC-Endpunkten weiterhin über Ihre VPC läuft. Wenn Sie Gateway-VPC-Endpunkte verwenden möchten, sollten Sie den direkten Internetzugang deaktivieren.

Nur-VPC-Kommunikation mit dem Internet

Um den direkten Internetzugriff zu deaktivieren, können Sie eine VPC für Ihre Notebook-Instance angeben. Damit verhindern Sie, dass SageMaker AI einen Internetzugang für Ihre Notebook-Instance bereitstellt. Infolgedessen kann die Notebook-Instance keine Modelle trainieren oder hosten, es sei denn, Ihre VPC verfügt über einen Schnittstellenendpunkt (AWS PrivateLink) oder ein NAT-Gateway und Ihre Sicherheitsgruppen erlauben ausgehende Verbindungen.

Informationen zum Erstellen eines VPC-Schnittstellenendpunkts für AWS PrivateLink Ihre Notebook-Instance finden Sie unter Herstellen einer Verbindung zu einer Notebook-Instance über einen VPC-Schnittstellenendpunkt. Informationen zum Einrichten eines NAT-Gateways für Ihre VPC finden Sie unter VPC with Public and Private Subnets (NAT) im Amazon Virtual Private Cloud User Guide. Weitere Informationen zu Sicherheitsgruppen finden Sie unter Sicherheitsgruppen für Ihre VPC. Weitere Informationen zu Netzwerkkonfigurationen in jedem Netzwerkmodus und zur Konfiguration des Netzwerks vor Ort finden Sie unter Grundlegendes zu Notebook-Instance für Amazon SageMaker-Netzwerkkonfigurationen und erweiterten Routing-Optionen.

Warnung

Wenn Sie eine VPC für Ihre Notebook-Instance verwenden, besitzen Sie teilweise die Netzwerkkonfiguration für die Instance. Als bewährte Sicherheitsmethode empfehlen wir, für den eingehenden und ausgehenden Zugriff, den Sie mit Ihren Sicherheitsgruppenregeln zulassen, Berechtigungen mit geringsten Privilegien anzuwenden. Wenn Sie zu freizügige Regelkonfigurationen für eingehenden Datenverkehr anwenden, können Benutzer, die Zugriff auf Ihre VPC haben, auf Ihre Jupyter Notebooks zugreifen, ohne sich zu authentifizieren.

Sicherheit und gemeinsam genutzte Notebook-Instances

Eine SageMaker-Notebook-Instance ist so konzipiert, dass sie am besten für einen einzelnen Benutzer funktioniert. Damit erhalten Datenexperten und andere Benutzer eine leistungsstarke Verwaltung für ihre Entwicklungsumgebung.

Ein Notebook-Instance-Benutzer hat Root-Zugriff, um Pakete und andere relevante Software zu installieren. Wir empfehlen, dass Sie Vorsicht walten lassen, wenn Sie einzelnen Benutzern Zugriff auf Notebook-Instances gewähren, die mit einer VPC verbunden sind, welche vertrauliche Informationen enthält. Beispielsweise können Sie einem Benutzer Zugriff auf eine Notebook-Instance mit einer IAM-Richtlinie gewähren, indem Sie ihm die Möglichkeit geben, eine vorab signierte Notebook-URL zu erstellen, wie im folgenden Beispiel gezeigt:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
            "Resource": "arn:aws:sagemaker:us-east-1:111122223333:notebook-instance/myNotebookInstance"
        }
    ]
}