Conexión de una instancia de cuaderno en una VPC a recursos externos
En el siguiente tema, se proporciona información sobre cómo conectar su instancia de cuaderno en una VPC a recursos externos.
Comunicación predeterminada con Internet
Cuando el cuaderno permite el acceso directo a Internet, SageMaker AI proporciona una interfaz de red que permite que el cuaderno se comunique con Internet a través de una VPC administrada por SageMaker AI. El tráfico dentro del CIDR de su VPC pasa por la interfaz de red elástica creada en su VPC. El resto del tráfico pasará por la interfaz de red elástica creada por SageMaker AI, esencialmente a través de Internet público. El tráfico a los puntos de conexión de VPC de puerta de enlace como Amazon S3 y DynamoDB pasa a través de Internet público, mientras que el tráfico a los puntos de conexión de VPC de interfaz seguirá pasando a través de su VPC. Si desea utilizar puntos de conexión de VPC de puerta de enlace, puede ser buena idea deshabilitar el acceso directo a Internet.
Comunicación solo de VPC con Internet
Para deshabilitar el acceso directo a Internet, puede especificar una VPC para su instancia de bloc de notas. Si lo hace, impedirá que SageMaker AI proporcione acceso a Internet a su instancia de cuaderno. Como resultado, la instancia de cuaderno no podrá realizar el entrenamiento de los modelos ni alojarlos hasta que su VPC disponga de un punto de conexión de interfaz (AWS PrivateLink) o una puerta de enlace NAT y sus grupos de seguridad permitan las conexiones salientes.
Para obtener más información acerca de cómo crear un punto de conexión de interfaz de VPC para utilizar AWS PrivateLink con su instancia de cuaderno, consulte Conexión a una instancia de bloc de notas a través de un punto de enlace de interfaz de VPC. Para obtener información sobre la configuración de una puerta de enlace NAT para su VPC, consulte VPC with public and private Subnets (NAT) en la Guía del usuario de Amazon Virtual Private Cloud. Para obtener información sobre los grupos de seguridad, consulte Grupos de seguridad de su VPC. Para obtener más información acerca de las configuraciones de red en cada modo de red y la configuración de la red en las instalaciones, consulte Understanding Amazon SageMaker notebook instance networking configurations and advanced routing options
aviso
Al usar una VPC para su instancia de notebook, usted es propietario parcial de la configuración de red de la instancia. La práctica de seguridad recomendada es aplicar permisos de privilegio mínimo al acceso entrante y saliente que proporcionan las reglas del grupo de seguridad. Si aplica configuraciones de reglas de entrada demasiado permisivas, los usuarios que tengan acceso a su VPC podrían acceder a sus cuadernos de Jupyter sin autenticarse.
Seguridad e instancias compartidas de cuaderno
Se designa una instancia de cuaderno de SageMaker para que funcione mejor con un usuario individual. Se ha diseñado para proporcionar a los analizadores de datos y a otros usuarios la mayor potencia de administración del entorno de desarrollo.
Un usuario de instancia de bloc de notas dispone de acceso raíz para la instalación de paquetes y otro software pertinente. Le recomendamos que decida cuándo conceder a las personas acceso a las instancias de bloc de notas asociadas a una VPC que contenga información confidencial. Por ejemplo, es posible que desee conceder a un usuario acceso a una instancia de cuaderno con una política de IAM al darle la capacidad de crear una URL de cuaderno prefirmada, tal como se muestra en el siguiente ejemplo:
