本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 將 VPC 中的筆記本執行個體連接外部資源
下列主題提供如何將 VPC 中的筆記本執行個體連線至外部資源的相關資訊。
## 與網際網路的預設通訊
當您的筆記本允許*直接網際網路存取*時,SageMaker AI 會提供一個網路介面,允許筆記本透過 SageMaker AI 所管理的 VPC 與網際網路進行通訊。您的 VPC CIDR 內的流量將會通過您在您的 VPC 中建立的彈性網路介面。所有其他流量都會經過 SageMaker AI 建立的網路介面,這基本上就是經過公有網際網路。流向 Amazon S3 和 DynamoDB 等閘道 VPC 端點的流量,會通過公有網際網路,而流向介面 VPC 端點的流量仍會通過您的 VPC。如果您想要使用閘道 VPC 端點,則可能需要停用直接網際網路存取。
## 與網際網路進行僅限 VPC 通訊
若要停用直接網際網路存取,您可以為筆記本執行個體指定 VPC。透過這樣做,您可以防止 SageMaker AI 將網際網路存取提供給筆記本執行個體。因此,除非您的 VPC 具有介面端點 (AWS PrivateLink) 或 NAT 閘道,且安全群組允許傳出連線,否則筆記本執行個體無法訓練或託管模型。
如需建立 VPC 介面端點以 AWS PrivateLink 用於筆記本執行個體的詳細資訊,請參閱 [透過 VPC 介面端點連線至筆記本執行個體](notebook-interface-endpoint.md)。如需替您的 VPC 設定 NAT 閘道的相關資訊,請參閱 *Amazon Virtual Private Cloud 使用者指南*中的[ VPC 搭配公有與私有子網路 (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-example-private-subnets-nat.html) 的相關文章。如需安全群組的資訊,請參閱 [您的 VPC 的安全群組](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html)。如需各網路模式之聯網組態和在內部部署環境中設定網路的更多相關資訊,請參閱[了解 Amazon SageMaker 筆記本執行個體聯網組態和進階路由選項](https://aws.amazon.com/blogs/machine-learning/understanding-amazon-sagemaker-notebook-instance-networking-configurations-and-advanced-routing-options/)。
**警告**
當您為筆記本執行個體使用 VPC 時,部分擁有執行個體的聯網組態。作為安全最佳實務,我們建議您將最低權限許可套用至您使用安全群組規則所允許的傳入和傳出存取。如果您套用過度寬鬆的傳入規則組態,則有權存取 VPC 的使用者可以存取您的 Jupyter 筆記本,而無需驗證。
## 安全性與共用筆記本執行個體
SageMaker 筆記本執行個體的設計最適合由單人使用者使用。其設計旨在為資料科學家及其他使用者提供最強大的開發環境管理能力。
筆記本執行個體的使用者擁有根存取權限,可安裝套件及其他相關軟體。對於連接至含有機密資訊之 VPC 的筆記本執行個體,在將其存取權限授予給個別人員之前,建議一定要先經過審慎的判斷。例如,您可能使用 IAM 政策授予使用者存取筆記本執行個體的權限,方法是讓他們能夠建立預先簽章的筆記本 URL,如下列範例所示:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:notebook-instance/myNotebookInstance"
}
]
}
```
------