本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 将 VPC 中的笔记本实例连接到外部资源
以下主题提供了有关如何将 VPC 中的笔记本实例连接到外部资源的信息。
## 与互联网的默认通信
当您的笔记本电脑允许*直接访问互联网*时, SageMaker AI 会提供一个网络接口,允许笔记本电脑通过 SageMaker AI 管理的 VPC 与互联网通信。您的 VPC 的 CIDR 中的流量将通过在 VPC 中创建的弹性网络接口。所有其他流量都通过 SageMaker 人工智能创建的网络接口,该接口本质上是通过公共互联网。到网关 VPC 端点(如 Amazon S3 和 DynamoDB)的流量将通过公共互联网,而到接口 VPC 端点的流量仍通过您的 VPC。如果要使用网关 VPC 端点,您可能希望禁用直接互联网访问。
## 与互联网的仅 VPC 通信
要禁用直接互联网访问,您可以为笔记本实例指定一个 VPC。这样做可以阻止 SageMaker AI 为你的笔记本实例提供互联网访问权限。因此,除非您的 VPC 具有接口端点 (AWS PrivateLink) 或 NAT 网关,并且安全组允许出站连接,否则,笔记本实例无法训练或托管模型。
有关创建用于笔记本实例的 VPC 接口终端节点的信息,请参阅[通过 VPC 接口终端节点连接到笔记本实例](notebook-interface-endpoint.md)。 AWS PrivateLink 有关为 VPC 设置 NAT 网关的信息,请参阅《Amazon Virtual Private Cloud 用户指南》**中的[带有公有子网和私有子网 (NAT) 的 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-example-private-subnets-nat.html)。有关安全组的信息,请参阅[您的 VPC 的安全组](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html)。有关每种联网模式下的联网配置和本地配置网络的更多信息,请参阅[了解 Amazon SageMaker 笔记本实例联网配置和高级路由选项](https://aws.amazon.com/blogs/machine-learning/understanding-amazon-sagemaker-notebook-instance-networking-configurations-and-advanced-routing-options/)。
**警告**
当您将 VPC 用于笔记本实例时,您将部分拥有该实例的网络配置权限。作为安全最佳实践,我们建议您为通过安全组规则允许的入站和出站访问配置最低权限。如果您应用过于宽松的入站规则配置,则有权访问 VPC 的用户无需身份验证,即可访问您的 Jupyter Notebook。
## 安全和共享笔记本实例
SageMaker 笔记本实例的设计最适合个人用户。它旨在为数据科学家和其他用户提供管理开发环境的最强大功能。
笔记本实例用户具有安装程序包和其他相关软件的根访问权限。对于连接到包含敏感信息的 VPC 的笔记本实例,建议您在授予其相关的个人访问权限时谨慎处理。例如,您可以通过 IAM 策略向用户授予对笔记本实例的访问权限,具体方式是允许用户创建预签名笔记本 URL,如下例所示:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:notebook-instance/myNotebookInstance"
}
]
}
```
------