Connecter une instance de bloc-notes dans un VPC à des ressources externes
La rubrique suivante fournit des informations sur la manière de connecter votre instance de bloc-notes dans un VPC à des ressources externes.
Communication par défaut avec Internet
Lorsque votre bloc-notes permet un accès direct à Internet, SageMaker AI fournit une interface réseau qui permet au bloc-notes de communiquer avec Internet via un VPC géré par SageMaker AI. Le trafic dans le CIDR de votre VPC passe par l’interface réseau Elastic créée dans votre VPC. Tout le reste du trafic passera par l’interface réseau créée par SageMaker AI, c’est-à-dire essentiellement à travers le réseau Internet public. Le trafic vers les points de terminaison d’un VPC d’une passerelle comme Amazon S3 et DynamoDB passera par l’Internet public, tandis que le trafic vers les points de terminaison d’un VPC d’interface passera toujours par votre VPC. Si vous souhaitez utiliser les points de terminaison d’un VPC d’une passerelle, vous pouvez désactiver l’accès direct à Internet.
Communication VPC uniquement avec Internet
Pour désactiver l’accès direct à Internet, vous pouvez spécifier un VPC pour votre instance de bloc-notes. Vous empêchez ainsi SageMaker AI de fournir un accès à Internet à votre instance de bloc-notes. Par conséquent, l’instance de bloc-notes ne peut pas entraîner ou héberger des modèles, sauf si votre VPC dispose d’un point de terminaison d’interface (AWS PrivateLink) ou d’une passerelle NAT et que vos groupes de sécurité autorisent les connexions sortantes.
Pour obtenir des informations sur la création d’un point de terminaison d’interface VPC pour utiliser AWS PrivateLink pour votre instance de bloc-notes, consultez Connexion à une instance de bloc-notes via un point de terminaison d’interface VPC.. Pour obtenir des informations sur la configuration d’une passerelle NAT pour votre VPC, consultez VPC avec des sous-réseaux publics et privés (NAT) dans le Guide de l’utilisateur Amazon Virtual Private Cloud. Pour plus d’informations sur les groupes de sécurité, consultez Groupes de sécurité pour votre VPC. Pour plus d’informations sur les configurations de mise en réseau dans chaque mode de mise en réseau et sur la configuration du réseau sur site, consultez Compréhension des configurations de mise en réseau et des options de routage avancées des instances de bloc-notes Amazon SageMaker
Avertissement
Lorsque vous utilisez un VPC pour votre instance de bloc-notes, vous êtes partiellement propriétaire de la configuration de mise en réseau pour l’instance. Comme bonne pratique de sécurité, nous vous recommandons d’appliquer des autorisations de moindre privilège aux accès entrant et sortant que vous autorisez avec vos règles de groupe de sécurité. Si vous appliquez des configurations de règles entrantes trop permissives, les utilisateurs qui ont accès à votre VPC pourraient accéder à vos blocs-notes Jupyter sans s’authentifier.
Instances de sécurité et de blocs-notes partagés
Une instance de bloc-notes SageMaker est conçue pour donner les meilleurs résultats pour un utilisateur individuel. Elle est conçue pour offrir aux spécialistes des données et aux autres utilisateurs une puissance maximale pour la gestion de leur environnement de développement.
Un utilisateur d’instance de bloc-notes possède un accès racine pour l’installation de packages et d’autres logiciels pertinents. Nous vous recommandons de bien réfléchir avant d’accorder à des utilisateurs individuels un accès à des instances de bloc-notes attachées à un VPC contenant des informations sensibles. Par exemple, vous pouvez accorder à un utilisateur l’accès à une instance de bloc-notes à l’aide d’une politique IAM, en lui donnant la possibilité de créer une URL de bloc-notes pré-signée, comme illustré dans l’exemple suivant :
