

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Connectez-vous aux ressources Amazon SageMaker AI depuis un VPC
<a name="infrastructure-connect-to-resources"></a>

**Important**  
Les informations suivantes s'appliquent à Amazon SageMaker Studio et à Amazon SageMaker Studio Classic. Les mêmes concepts de connexion aux ressources au sein d’un VPC s’appliquent à Studio et à Studio Classic.

Les instances Amazon SageMaker Studio et SageMaker AI Notebook autorisent un accès direct à Internet par défaut. SageMaker L'IA vous permet de télécharger des packages et des blocs-notes populaires, de personnaliser votre environnement de développement et de travailler efficacement. Toutefois, cela pourrait ouvrir une voie pour l’accès non autorisé à vos données. Par exemple, si vous installez un code malveillant sur votre ordinateur sous la forme d’un bloc-notes ou d’une bibliothèque de code source disponible publiquement, il peut accéder à vos données. Vous pouvez limiter le trafic autorisé à accéder à Internet en lançant vos instances Studio et SageMaker AI Notebook dans un [Amazon Virtual Private Cloud (Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)). 

Un Amazon Virtual Private Cloud est un réseau virtuel dédié à votre AWS compte. Avec un réseau Amazon VPC, vous pouvez contrôler l’accès réseau et la connectivité Internet de vos instances de bloc-notes et Studio. Vous pouvez supprimer l’accès direct à Internet pour ajouter une couche de sécurité supplémentaire.

Les rubriques suivantes décrivent comment connecter vos instances Studio et vos instances de bloc-notes aux ressources d’un VPC.

**Topics**
+ [Connect Amazon SageMaker Studio dans un VPC à des ressources externes](studio-updated-and-internet-access.md)
+ [Connexion des blocs-notes Studio d’un VPC à des ressources externes](studio-notebooks-and-internet-access.md)
+ [Connecter une instance de bloc-notes dans un VPC à des ressources externes](appendix-notebook-and-internet-access.md)

# Connect Amazon SageMaker Studio dans un VPC à des ressources externes
<a name="studio-updated-and-internet-access"></a>

**Important**  
Depuis le 30 novembre 2023, l'expérience Amazon SageMaker Studio précédente s'appelle désormais Amazon SageMaker Studio Classic. La section suivante est spécifique à l’utilisation de l’expérience Studio mise à jour. Pour en savoir plus sur l’utilisation de l’application Studio Classic, consultez [Amazon SageMaker Studio classique](studio.md).

La rubrique suivante explique comment connecter Amazon SageMaker Studio dans un VPC à des ressources externes.

**Topics**
+ [Communication par défaut avec Internet](#studio-notebooks-and-internet-access-default-setting)
+ [Communication `VPC only` avec Internet](#studio-notebooks-and-internet-access-vpc-only)

## Communication par défaut avec Internet
<a name="studio-notebooks-and-internet-access-default-setting"></a>

Par défaut, Amazon SageMaker Studio fournit une interface réseau qui permet de communiquer avec Internet via un VPC géré par SageMaker l'IA. Le trafic vers AWS des services tels qu'Amazon S3 CloudWatch passe par une passerelle Internet, tout comme le trafic qui accède à l'API SageMaker AI et au runtime SageMaker AI. Le trafic entre le domaine et votre volume Amazon EFS passe par le VPC que vous avez spécifié lors de votre intégration au domaine ou que vous avez appelé l'API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)

## Communication `VPC only` avec Internet
<a name="studio-notebooks-and-internet-access-vpc-only"></a>

Pour empêcher l' SageMaker IA de fournir un accès Internet à Studio, vous pouvez désactiver l'accès à Internet en spécifiant le type d'accès `VPC only` réseau lorsque vous vous [connectez à Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) ou que vous appelez l'[CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)API. Par conséquent, vous ne pourrez pas exécuter Studio à moins que votre VPC ne dispose d'un point de terminaison d'interface vers l' SageMaker API et le runtime, ou d'une passerelle NAT avec accès à Internet, et que vos groupes de sécurité n'autorisent les connexions sortantes.

**Note**  
Le type d’accès réseau peut être modifié après la création du domaine à l’aide du paramètre `--app-network-access-type` de la commande [update-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sagemaker/update-domain.html).

### Exigences pour utiliser le mode `VPC only`
<a name="studio-notebooks-and-internet-access-vpc-only-requirements"></a>

Si vous avez choisi `VpcOnly`, procédez comme suit :

1. Vous devez utiliser des sous-réseaux privés uniquement. Vous ne pouvez pas utiliser de sous-réseaux publics en mode `VpcOnly`.

1. Assurez-vous que vos sous-réseaux disposent du nombre requis d'adresses IP. Le nombre prévu d'adresses IP nécessaires par utilisateur peut varier en fonction du cas d'utilisation. Nous recommandons entre 2 et 4 adresses IP par utilisateur. La capacité d’adresse IP totale d’un domaine est la somme des adresses IP disponibles pour chaque sous-réseau fourni lors de la création du domaine. Veillez à ce que votre utilisation estimée d’adresses IP ne dépasse pas la capacité prise en charge par le nombre de sous-réseaux que vous fournissez. En outre, l'utilisation de sous-réseaux répartis dans de nombreuses zones de disponibilité peut favoriser la disponibilité d'adresses IP. Pour plus d'informations, consultez la section [Dimensionnement des VPC et des sous-réseaux](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) pour. IPv4
**Note**  
Vous pouvez uniquement configurer des sous-réseaux avec un VPC de location par défaut dans lequel votre instance s'exécute sur un matériel partagé. Pour plus d'informations sur l'attribut de location pour VPCs, consultez [Instances dédiées](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).

1. 
**Avertissement**  
Lorsque vous utilisez le mode `VpcOnly`, vous êtes partiellement propriétaire de la configuration réseau du domaine. Nous recommandons la bonne pratique de sécurité qui consiste à appliquer les autorisations de moindre privilège aux accès entrant et sortant fournis par les règles des groupes de sécurité. Des configurations avec des règles entrantes trop permissives pourraient permettre à des utilisateurs ayant accès au VPC d'interagir avec les applications d'autres profils utilisateur sans authentification.

   Configurez un ou plusieurs groupes de sécurité avec des règles entrantes et sortantes qui autorisent le trafic suivant :
   + [Trafic NFS sur TCP sur le port 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) entre le domaine et le volume Amazon EFS.
   + [Trafic TCP au sein du groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Cela est nécessaire pour la connectivité entre l'application Jupyter Server et les applications Kernel Gateway. Vous devez autoriser l’accès à au moins des ports situés dans la plage `8192-65535`. 

   Créez un groupe de sécurité distinct pour chaque profil utilisateur et ajoutez un accès entrant à partir de ce même groupe de sécurité. Nous déconseillons de réutiliser un groupe de sécurité au niveau du domaine pour les profils utilisateur. Si le groupe de sécurité au niveau du domaine autorise l'accès entrant à lui-même, toutes les applications figurant dans le domaine auront accès à toutes les autres applications du domaine.

1. Si vous souhaitez autoriser l’accès à Internet, vous devez utiliser une [passerelle NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) avec accès Internet, par exemple via une [passerelle Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).

1. Si vous ne souhaitez pas autoriser l'accès à Internet, [créez des points de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) (AWS PrivateLink) pour permettre à Studio d'accéder aux services suivants avec les noms de service correspondants. Vous devez également associer les groupes de sécurité pour votre VPC à ces points de terminaison.
   + SageMaker API :`com.amazonaws.region.sagemaker.api`. 
   + SageMaker Temps d'exécution de l'IA :`com.amazonaws.region.sagemaker.runtime`. Nécessaire pour exécuter les invocations de point de terminaison.
   + Simple Storage Service (Amazon S3) : `com.amazonaws.region.s3`.
   + SageMaker Projets :`com.amazonaws.region.servicecatalog`.
   + SageMaker Atelier :`aws.sagemaker.region.studio`.
   + Tout autre AWS service dont vous avez besoin.

    Si vous utilisez le [SDK SageMaker Python](https://sagemaker.readthedocs.io/en/stable/) pour exécuter des tâches de formation à distance, vous devez également créer les points de terminaison Amazon VPC suivants.
   + AWS Security Token Service: `com.amazonaws.region.sts`
   + Amazon CloudWatch:`com.amazonaws.region.logs`. Cela est nécessaire pour permettre au SDK SageMaker Python d'obtenir le statut de la tâche de formation à distance à partir de Amazon CloudWatch.

1. Si vous utilisez le domaine en mode `VpcOnly` depuis un réseau sur site, établissez une connectivité privée entre le réseau de l’hôte exécutant Studio dans le navigateur et le réseau Amazon VPC cible. Cela est nécessaire car l'interface utilisateur de Studio appelle les AWS points de terminaison à l'aide d'appels d'API avec des informations d'identification temporaires AWS . Ces informations d’identification temporaires sont associées au rôle d’exécution du profil utilisateur connecté. Si le domaine est configuré en `VpcOnly` mode sur un réseau local, le rôle d'exécution peut définir des conditions de politique IAM qui imposent l'exécution des appels d'API de AWS service uniquement via les points de terminaison Amazon VPC configurés. Cela entraîne l'échec des appels d'API exécutés depuis l'interface utilisateur de Studio. Nous vous recommandons de résoudre ce problème à l’aide d’une connexion [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) ou [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html).

**Note**  
Pour un client travaillant en mode VPC, les pare-feu d’entreprise peuvent entraîner des problèmes de connexion avec Studio ou les applications. Effectuez les vérifications suivantes si vous rencontrez l’un de ces problèmes lorsque vous utilisez Studio derrière un pare-feu.  
Vérifiez que l'URL de Studio et celle URLs de toutes vos applications figurent dans la liste d'autorisation de votre réseau. Par exemple :  

  ```
  *.studio.region.sagemaker.aws
  *.console.aws.a2z.com
  ```
Vérifiez que les connexions websocket ne sont pas bloquées. Jupyter utilise des websockets.

**Pour plus d’informations**
+ [Groupes de sécurité pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [Connectez-vous à l' SageMaker IA au sein de votre VPC](interface-vpc-endpoint.md)
+ [VPC avec des sous-réseaux publics et privés (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)

# Connexion des blocs-notes Studio d’un VPC à des ressources externes
<a name="studio-notebooks-and-internet-access"></a>

La rubrique suivante fournit des informations sur la façon de connecter les blocs-notes Studio d’un VPC à des ressources externes.

## Communication par défaut avec Internet
<a name="studio-notebooks-and-internet-access-default"></a>

Par défaut, SageMaker Studio fournit une interface réseau qui permet de communiquer avec Internet via un VPC géré par SageMaker l'IA. Le trafic vers AWS des services, tels qu'Amazon S3 et Amazon CloudWatch, passe par une passerelle Internet. Le trafic qui accède à l' SageMaker API et à l'environnement d'exécution de l' SageMaker IA passe également par une passerelle Internet. Le trafic entre le domaine et le volume Amazon EFS passe par le VPC que vous avez identifié lors de votre intégration à Studio ou que vous avez appelé l'API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) Le schéma suivant illustre la configuration par défaut.

![\[SageMaker Schéma VPC de Studio illustrant l'utilisation de l'accès direct à Internet.\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/images/studio/studio-vpc-internet.png)


## Communication `VPC only` avec Internet
<a name="studio-notebooks-and-internet-access-vpc"></a>

Pour empêcher l' SageMaker IA de fournir un accès Internet à vos blocs-notes Studio, désactivez l'accès à Internet en spécifiant le type d'accès `VPC only` réseau. Spécifiez ce type d'accès réseau lorsque vous [intégrez Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) ou que vous appelez l'[CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)API. Par conséquent, vous ne pourrez pas exécuter un bloc-notes Studio à moins que :
+ votre VPC dispose d'un point de terminaison d'interface vers l' SageMaker API et le runtime, ou d'une passerelle NAT avec accès à Internet
+ vos groupes de sécurité autorisent les connexions sortantes.

Le diagramme suivant montre une configuration pour utiliser le mode VPC uniquement.

![\[SageMaker Schéma Studio VPC illustrant l'utilisation du mode VPC uniquement.\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/images/studio/studio-vpc-private.png)


### Exigences pour utiliser le mode `VPC only`
<a name="studio-notebooks-and-internet-access-vpc-requirements"></a>

Si vous avez choisi `VpcOnly`, procédez comme suit :

1. Vous devez utiliser des sous-réseaux privés uniquement. Vous ne pouvez pas utiliser de sous-réseaux publics en mode `VpcOnly`.

1. Assurez-vous que vos sous-réseaux disposent du nombre requis d'adresses IP. Le nombre prévu d'adresses IP nécessaires par utilisateur peut varier en fonction du cas d'utilisation. Nous recommandons entre 2 et 4 adresses IP par utilisateur. La capacité d’adresse IP totale d’un domaine Studio est la somme des adresses IP disponibles pour chaque sous-réseau fourni lors de la création du domaine. Assurez-vous que votre utilisation d’adresses IP ne dépasse pas la capacité prise en charge par le nombre de sous-réseaux que vous fournissez. En outre, l’utilisation de sous-réseaux répartis dans de nombreuses zones de disponibilité peut favoriser la disponibilité d’adresses IP. Pour plus d'informations, consultez la section [Dimensionnement des VPC et des sous-réseaux](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#vpc-sizing-ipv4) pour. IPv4
**Note**  
Vous pouvez uniquement configurer des sous-réseaux avec un VPC de location par défaut dans lequel votre instance s'exécute sur un matériel partagé. Pour plus d'informations sur l'attribut de location pour VPCs, consultez [Instances dédiées](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).

1. 
**Avertissement**  
Lorsque vous utilisez le mode `VpcOnly`, vous êtes partiellement propriétaire de la configuration réseau du domaine. Nous recommandons la bonne pratique de sécurité qui consiste à appliquer les autorisations de moindre privilège aux accès entrant et sortant fournis par les règles des groupes de sécurité. Des configurations avec des règles entrantes trop permissives pourraient permettre à des utilisateurs ayant accès au VPC d'interagir avec les applications d'autres profils utilisateur sans authentification.

   Configurez un ou plusieurs groupes de sécurité avec des règles entrantes et sortantes qui autorisent le trafic suivant :
   + [Trafic NFS sur TCP sur le port 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) entre le domaine et le volume Amazon EFS.
   + [Trafic TCP au sein du groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Cela est nécessaire pour la connectivité entre l'application Jupyter Server et les applications Kernel Gateway. Vous devez autoriser l’accès à au moins des ports situés dans la plage `8192-65535`. 

   Créez un groupe de sécurité distinct pour chaque profil utilisateur et ajoutez un accès entrant à partir de ce même groupe de sécurité. Nous déconseillons de réutiliser un groupe de sécurité au niveau du domaine pour les profils utilisateur. Si le groupe de sécurité au niveau du domaine autorise l’accès entrant à lui-même, toutes les applications figurant dans le domaine auront accès à toutes les autres applications du domaine.

1. Si vous souhaitez autoriser l’accès à Internet, vous devez utiliser une [passerelle NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) avec accès Internet, par exemple via une [passerelle Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).

1. Pour supprimer l'accès à Internet, [créez des points de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) (AWS PrivateLink) pour permettre à Studio d'accéder aux services suivants avec les noms de service correspondants. Vous devez également associer les groupes de sécurité pour votre VPC à ces points de terminaison.
   + SageMaker API : `com.amazonaws.region.sagemaker.api` 
   + SageMaker Temps d'exécution de l'IA :`com.amazonaws.region.sagemaker.runtime`. Ceci est nécessaire pour exécuter des blocs-notes Studio et pour entraîner et héberger des modèles. 
   + Simple Storage Service (Amazon S3) : `com.amazonaws.region.s3`.
   + Pour utiliser SageMaker les projets :`com.amazonaws.region.servicecatalog`.
   + Tout autre AWS service dont vous avez besoin.

    Si vous utilisez le [SDK SageMaker Python](https://sagemaker.readthedocs.io/en/stable/) pour exécuter des tâches de formation à distance, vous devez également créer les points de terminaison Amazon VPC suivants.
   + AWS Security Token Service: `com.amazonaws.region.sts`
   + Amazon CloudWatch:`com.amazonaws.region.logs`. Cela est nécessaire pour permettre au SDK SageMaker Python d'obtenir le statut de la tâche de formation à distance à partir de Amazon CloudWatch.

**Note**  
Pour un client travaillant en mode VPC, les pare-feux de l'entreprise peuvent entraîner des problèmes de connexion avec SageMaker Studio ou entre et JupyterServer le. KernelGateway Effectuez les vérifications suivantes si vous rencontrez l'un de ces problèmes lorsque vous utilisez SageMaker Studio derrière un pare-feu.  
Vérifiez que l’URL de Studio est dans votre liste d’autorisations de réseaux.
Vérifiez que les connexions WebSocket ne sont pas bloquées. Jupyter utilise WebSocket en arrière-plan. Si c'est KernelGateway le cas InService, il JupyterServer se peut que vous ne puissiez pas vous connecter au KernelGateway. Vous devriez voir ce problème également lors de l'ouverture du terminal système.

**Pour plus d’informations**
+ [Sécurisation de la connectivité Amazon SageMaker Studio à l'aide d'un VPC privé](https://aws.amazon.com/blogs/machine-learning/securing-amazon-sagemaker-studio-connectivity-using-a-private-vpc).
+ [Groupes de sécurité pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
+ [Connectez-vous à l' SageMaker IA au sein de votre VPC](interface-vpc-endpoint.md)
+ [VPC avec des sous-réseaux publics et privés (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)

# Connecter une instance de bloc-notes dans un VPC à des ressources externes
<a name="appendix-notebook-and-internet-access"></a>

La rubrique suivante fournit des informations sur la manière de connecter votre instance de bloc-notes dans un VPC à des ressources externes.

## Communication par défaut avec Internet
<a name="appendix-notebook-and-internet-access-default"></a>

Lorsque votre ordinateur portable permet un *accès direct à Internet*, l' SageMaker IA fournit une interface réseau qui lui permet de communiquer avec Internet via un VPC géré par SageMaker l'IA. Le trafic dans le CIDR de votre VPC passe par l’interface réseau Elastic créée dans votre VPC. Tout le reste du trafic passe par l'interface réseau créée par l' SageMaker IA, qui passe essentiellement par l'Internet public. Le trafic vers les points de terminaison d’un VPC d’une passerelle comme Amazon S3 et DynamoDB passera par l’Internet public, tandis que le trafic vers les points de terminaison d’un VPC d’interface passera toujours par votre VPC. Si vous souhaitez utiliser les points de terminaison d’un VPC d’une passerelle, vous pouvez désactiver l’accès direct à Internet. 

## Communication VPC uniquement avec Internet
<a name="appendix-notebook-and-internet-access-default-vpc"></a>

Pour désactiver l’accès direct à Internet, vous pouvez spécifier un VPC pour votre instance de bloc-notes. Ce faisant, vous empêchez l' SageMaker IA de fournir un accès Internet à votre instance de bloc-notes. Par conséquent, l’instance de bloc-notes ne peut pas entraîner ou héberger des modèles, sauf si votre VPC dispose d’un point de terminaison d’interface (AWS PrivateLink) ou d’une passerelle NAT et que vos groupes de sécurité autorisent les connexions sortantes. 

Pour plus d'informations sur la création d'un point de terminaison d'interface VPC à utiliser AWS PrivateLink pour votre instance de bloc-notes, consultez. [Connexion à une instance de bloc-notes via un point de terminaison d’interface VPC.](notebook-interface-endpoint.md) Pour obtenir des informations sur la configuration d’une passerelle NAT pour votre VPC, consultez [VPC avec des sous-réseaux publics et privés (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-example-private-subnets-nat.html) dans le *Guide de l’utilisateur Amazon Virtual Private Cloud*. Pour plus d’informations sur les groupes de sécurité, consultez [Groupes de sécurité pour votre VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html). Pour plus d'informations sur les configurations réseau dans chaque mode réseau et sur la configuration du réseau sur site, consultez [Comprendre les configurations réseau des instances d' SageMaker ordinateurs portables Amazon et les options de routage avancées](https://aws.amazon.com/blogs/machine-learning/understanding-amazon-sagemaker-notebook-instance-networking-configurations-and-advanced-routing-options/). 

**Avertissement**  
Lorsque vous utilisez un VPC pour votre instance de bloc-notes, vous êtes partiellement propriétaire de la configuration de mise en réseau pour l’instance. Comme bonne pratique de sécurité, nous vous recommandons d’appliquer des autorisations de moindre privilège aux accès entrant et sortant que vous autorisez avec vos règles de groupe de sécurité. Si vous appliquez des configurations de règles entrantes trop permissives, les utilisateurs qui ont accès à votre VPC pourraient accéder à vos blocs-notes Jupyter sans s’authentifier.

## Instances de sécurité et de blocs-notes partagés
<a name="appendix-notebook-and-single-user"></a>

Une instance de SageMaker bloc-notes est conçue pour fonctionner au mieux pour un utilisateur individuel. Elle est conçue pour offrir aux spécialistes des données et aux autres utilisateurs une puissance maximale pour la gestion de leur environnement de développement.

Un utilisateur d’instance de bloc-notes possède un accès racine pour l’installation de packages et d’autres logiciels pertinents. Nous vous recommandons de bien réfléchir avant d’accorder à des utilisateurs individuels un accès à des instances de bloc-notes attachées à un VPC contenant des informations sensibles. Par exemple, vous pouvez accorder à un utilisateur l’accès à une instance de bloc-notes à l’aide d’une politique IAM, en lui donnant la possibilité de créer une URL de bloc-notes pré-signée, comme illustré dans l’exemple suivant :

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
            "Resource": "arn:aws:sagemaker:us-east-1:111122223333:notebook-instance/myNotebookInstance"
        }
    ]
}
```

------