기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# VPC 내에서 Amazon SageMaker AI 리소스에 연결
**중요**
다음 정보는 Amazon SageMaker Studio와 Amazon SageMaker Studio Classic 모두에 적용됩니다. VPC 내의 리소스에 연결하는 것과 동일한 개념이 Studio와 Studio Classic 모두에 적용됩니다.
Amazon SageMaker Studio 및 SageMaker AI 노트북 인스턴스는 기본적으로 인터넷에 직접 액세스할 수 있습니다. SageMaker AI를 사용하면 인기 패키지 및 노트북을 다운로드하고, 개발 환경을 사용자 지정하며, 효율적으로 작업할 수 있습니다. 그러나 이는 데이터에 무단으로 액세스할 수 있는 기회를 제공할 수 있습니다. 예를 들어 컴퓨터에 공개적으로 사용할 수 있는 노트북 또는 소스 코드 라이브러리로 설치한 악의적 코드가 데이터에 액세스할 수 있습니다. [Amazon Virtual Private Cloud(Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)에서 Studio 및 SageMaker AI 노트북 인스턴스를 시작하여 인터넷에 액세스할 수 있는 트래픽을 제한할 수 있습니다.
Amazon Virtual Private Cloud는 AWS 계정 전용 가상 네트워크입니다. Amazon VPC를 사용하면 Studio 및 노트북 인스턴스의 네트워크 액세스 및 인터넷 연결을 제어할 수 있습니다. 직접 인터넷 액세스를 제거하여 또 다른 보안 계층을 추가할 수 있습니다.
다음 주제에서는 Studio 인스턴스와 노트북 인스턴스를 VPC의 리소스에 연결하는 방법을 설명합니다.
**Topics**
+ [VPC의 Amazon SageMaker Studio를 외부 리소스에 연결](studio-updated-and-internet-access.md)
+ [VPC의 Studio 노트북을 외부 리소스에 연결](studio-notebooks-and-internet-access.md)
+ [VPC의 노트북 인스턴스를 외부 리소스에 연결](appendix-notebook-and-internet-access.md)
# VPC의 Amazon SageMaker Studio를 외부 리소스에 연결
**중요**
2023년 11월 30일부터 이전 Amazon SageMaker Studio 환경이 이제 Amazon SageMaker Studio Classic으로 명명되었습니다. 다음 섹션은 업데이트된 Studio 환경 사용에 해당합니다. Studio Classic 애플리케이션 사용에 대한 자세한 내용은 [Amazon SageMaker Studio Classic](studio.md) 섹션을 참조하세요.
다음 주제에서는 VPC의 Amazon SageMaker Studio 노트북를 외부 리소스에 연결하는 방법에 대한 정보를 제공합니다.
**Topics**
+ [인터넷과의 기본 통신](#studio-notebooks-and-internet-access-default-setting)
+ [인터넷과의 `VPC only`통신](#studio-notebooks-and-internet-access-vpc-only)
## 인터넷과의 기본 통신
기본적으로 Amazon SageMaker Studio는 SageMaker AI에 의해 관리되는 VPC를 통해 인터넷과 통신할 수 있는 네트워크 인터페이스를 제공합니다. Amazon S3 및 CloudWatch와 같은 AWS 서비스로의 트래픽은 SageMaker AI API 및 SageMaker AI 런타임에 액세스하는 트래픽과 마찬가지로 인터넷 게이트웨이를 통과합니다. 도메인과 Amazon EFS 볼륨 간의 트래픽은 도메인에서 온보딩하거나 [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) API를 직접 호출할 때 지정한 VPC를 통과합니다.
## 인터넷과의 `VPC only`통신
SageMaker AI가 Studio에 대한 인터넷 액세스를 제공하지 못하도록 하려면 [Studio에 온보딩](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html)하거나 [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) API를 직접적으로 호출할 때 `VPC only` 네트워크 액세스 유형을 지정하여 인터넷 액세스를 비활성화할 수 있습니다. 결과적으로 VPC에 SageMaker API 및 런타임 또는 인터넷 액세스를 가진 NAT 게이트웨이에 대한 인터페이스 엔드포인트가 있고 보안 그룹이 아웃바운드 연결을 허용하지 않으면 Studio를 실행할 수 없습니다.
**참고**
도메인을 만든 후 [update-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sagemaker/update-domain.html) 명령의 `--app-network-access-type` 파라미터를 사용하여 네트워크 액세스 유형을 변경할 수 있습니다.
### `VPC only` 모드 사용 요구 사항
`VpcOnly`를 선택했다면, 다음 단계를 따르세요.
1. 프라이빗 서브넷만 사용해야 합니다. `VpcOnly` 모드에서는 퍼블릭 서브넷을 사용할 수 없습니다.
1. 서브넷에 필요한 수의 IP 주소가 있는지 확인하세요. 사용자당 필요한 예상 IP 주소 수는 사용 사례에 따라 달라질 수 있습니다. 사용자당 2\$14개의 IP 주소를 사용하는 것이 좋습니다. 도메인의 총 IP 주소 용량은 도메인을 만들 때 제공된 각 서브넷에 사용 가능한 IP 주소의 합계입니다. 예상 IP 주소 사용량이 제공하는 서브넷 수가 지원하는 용량을 초과하지 않는지 확인하세요. 또한 여러 가용 영역에 분산된 서브넷을 사용하면 IP 주소 가용성을 높일 수 있습니다. 자세한 내용은 [IPv4의 경우 VPC 및 서브넷 크기 조정](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4)을 참조하세요.
**참고**
사용자 인스턴스가 실행되는 공유 하드웨어의 기본 테넌시 VPC 만을 사용하여 서브넷을 구성할 수 있습니다. VPC의 테넌시 속성에 대한 자세한 내용은 [전용 인스턴스](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)를 참조하세요.
1.
**주의**
`VpcOnly` 모드를 사용하는 경우 도메인의 네트워킹 구성을 부분적으로 소유하게 됩니다. 보안 그룹 규칙이 제공하는 인바운드 및 아웃바운드 액세스에 최소 권한을 적용하는 보안 모범 사례를 사용하는 것이 좋습니다. 인바운드 규칙 구성이 지나치게 허용되면 VPC에 액세스할 수 있는 사용자가 인증 없이 다른 사용자 프로필의 애플리케이션과 상호 작용할 수 있습니다.
다음 트래픽을 허용하는 인바운드 및 아웃바운드 규칙을 사용하여 하나 이상의 보안 그룹을 설정합니다.
+ 도메인과 Amazon EFS 볼륨 사이의 [포트 2049에서 TCP를 통한 NFS 트래픽](https://docs.aws.amazon.com/efs/latest/ug/network-access.html).
+ [보안 그룹 내의 TCP 트래픽](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). 이는 Jupyter Server애플리케이션과 Kernel Gateway애플리케이션 간의 연결에 필요합니다. `8192-65535` 범위 내 최소 포트에 대한 액세스를 허용해야 합니다.
각 사용자 프로필에 대해 고유한 보안 그룹을 만들고 동일한 보안 그룹의 인바운드 액세스를 추가하세요. 사용자 프로필에 도메인 수준 보안 그룹을 재사용하지 않는 것이 좋습니다. 도메인 수준 보안 그룹이 자체로의 인바운드 액세스를 허용하면 도메인의 모든 애플리케이션이 도메인의 다른 모든 애플리케이션에 액세스할 수 있게 됩니다.
1. 인터넷 액세스를 허용하려면 [인터넷 게이트웨이](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) 등을 통해 인터넷에 액세스할 수 있는 [NAT 게이트웨이](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with)를 사용해야 합니다.
1. 인터넷 액세스를 허용하지 않으려면 [인터페이스 VPC 엔드포인트(PrivateLink)를 생성](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)하여 Studio가 해당 서비스 이름으로 다음 서비스에 액세스할 수 있도록 합니다.AWS PrivateLink 또한 VPC의 보안 그룹을 이러한 엔드포인트와 연결해야 합니다.
+ SageMaker API: `com.amazonaws.region.sagemaker.api`
+ SageMaker AI 런타임: `com.amazonaws.region.sagemaker.runtime`. 엔드포인트 간접 호출을 실행하는 데 필요합니다.
+ Amazon S3: `com.amazonaws.region.s3`.
+ SageMaker Projects: `com.amazonaws.region.servicecatalog`
+ SageMaker Studio: `aws.sagemaker.region.studio`
+ 필요한 기타 AWS 서비스.
[SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable/)를 사용하여 원격 훈련 작업을 실행하는 경우 다음과 같은 Amazon VPC 엔드포인트도 생성해야 합니다.
+ AWS Security Token Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch: `com.amazonaws.region.logs`. 이는 SageMaker Python SDK가 원격 훈련 작업 상태를 가져올 수 있도록 허용하는 데 필요합니다 Amazon CloudWatch.
1. 온프레미스 네트워크에서 `VpcOnly` 모드로 도메인을 사용하는 경우 브라우저에서 Studio를 실행하는 호스트의 네트워크와 대상 Amazon VPC에서 프라이빗 연결을 설정합니다. 이는 Studio UI가 임시 AWS 자격 증명과 함께 API 호출을 사용하여 AWS 엔드포인트를 호출하기 때문에 필요합니다. 이러한 임시 자격 증명은 로그된 사용자 프로필의 실행 역할과 연결되어 있습니다. 도메인이 온프레미스 네트워크의 `VpcOnly` 모드로 구성된 경우 실행 역할은 구성된 Amazon VPC 엔드포인트를 통해서만 AWS 서비스 API 호출의 실행을 강제하는 IAM 정책 조건을 정의할 수 있습니다. 이로 인해 Studio UI에서 실행되는 API 호출이 실패합니다. [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) 또는 [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 연결을 사용하여 이 문제를 해결하는 것이 좋습니다.
**참고**
VPC 모드 내에서 작업하는 고객의 경우 회사 방화벽으로 인해 Studio 또는 애플리케이션에 연결 문제가 발생할 수 있습니다. 방화벽 뒤에서 Studio를 사용할 때 이러한 문제 중 하나가 발생하는 경우 다음 사항을 확인하세요.
Studio URL과 모든 애플리케이션의 URL이 네트워크의 허용 목록에 있는지 확인합니다. 예제:
```
*.studio.region.sagemaker.aws
*.console.aws.a2z.com
```
웹 소켓 연결이 차단되지 않았는지 확인합니다. Jupyter는 웹 소켓을 사용합니다.
**자세한 정보**
+ [VPC의 보안 그룹](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [VPC 내에서 SageMaker AI에 연결](interface-vpc-endpoint.md)
+ [퍼블릭 및 프라이빗 서브넷이 있는 VPC(NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
# VPC의 Studio 노트북을 외부 리소스에 연결
다음 주제에서는 VPC의 Studio 노트북를 외부 리소스에 연결하는 방법에 대한 정보를 제공합니다.
## 인터넷과의 기본 통신
기본적으로 SageMaker Studio는 SageMaker AI에 의해 관리되는 VPC를 통해 인터넷과 통신할 수 있는 네트워크 인터페이스를 제공합니다. Amazon S3 및 CloudWatch 와 같은 AWS 서비스에 대한 트래픽은 인터넷 게이트웨이를 통과합니다. SageMaker API 및 SageMaker AI 런타임에 액세스하는 트래픽도 인터넷 게이트웨이를 통과합니다. 도메인과 Amazon EFS 볼륨 간의 트래픽은 Studio에서 온보딩하거나 [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) API를 직접 호출할 때 식별한 VPC를 통과합니다. 다음 다이어그램은 기본 구성을 보여줍니다.
![\[직접 인터넷 액세스 사용을 나타내는 SageMaker Studio VPC 다이어그램.\]](http://docs.aws.amazon.com/ko_kr/sagemaker/latest/dg/images/studio/studio-vpc-internet.png)
## 인터넷과의 `VPC only`통신
SageMaker AI가 Studio 노트북에 대한 인터넷 액세스를 제공하지 않도록 하려면 `VPC only` 네트워크 액세스 유형을 지정하여 인터넷 액세스를 비활성화합니다. [Studio에 온보딩](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html)하거나 [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) API를 직접 호출할 때 이 네트워크 액세스 유형을 지정합니다. 이렇게 하면 다음과 같은 경우가 아니면 Studio 노트북을 실행할 수 없습니다.
+ VPC에 SageMaker API 및 런타임에 대한 인터페이스 엔드포인트 또는 인터넷 액세스가 가능한 NAT 게이트웨이가 있는 경우
+ 보안 그룹이 아웃바운드 연결을 허용하는 경우
다음 다이어그램은 VPC 전용 모드 사용 구성을 보여줍니다.
![\[VPC 전용 모드의 사용을 보여주는 SageMaker Studio VPC 다이어그램.\]](http://docs.aws.amazon.com/ko_kr/sagemaker/latest/dg/images/studio/studio-vpc-private.png)
### `VPC only` 모드 사용 요구 사항
`VpcOnly`를 선택했다면, 다음 단계를 따르세요.
1. 프라이빗 서브넷만 사용해야 합니다. `VpcOnly` 모드에서는 퍼블릭 서브넷을 사용할 수 없습니다.
1. 서브넷에 필요한 수의 IP 주소가 있는지 확인하세요. 사용자당 필요한 예상 IP 주소 수는 사용 사례에 따라 달라질 수 있습니다. 사용자당 2\$14개의 IP 주소를 사용하는 것이 좋습니다. Studio 도메인의 총 IP 주소 용량은 도메인 생성 시 제공된 각 서브넷에 사용 가능한 IP 주소의 합계입니다. IP 주소 사용량이 제공하는 서브넷 수가 지원하는 용량을 초과하지 않는지 확인하세요. 또한 여러 가용 영역에 분산된 서브넷을 사용하면 IP 주소 가용성을 높이는 데 도움이 될 수 있습니다. 자세한 내용은 [IPv4의 경우 VPC 및 서브넷 크기 조정](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#vpc-sizing-ipv4)을 참조하세요.
**참고**
사용자 인스턴스가 실행되는 공유 하드웨어의 기본 테넌시 VPC 만을 사용하여 서브넷을 구성할 수 있습니다. VPC의 테넌시 속성에 대한 자세한 내용은 [전용 인스턴스](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)를 참조하세요.
1.
**주의**
`VpcOnly` 모드를 사용하는 경우 도메인의 네트워킹 구성을 부분적으로 소유하게 됩니다. 보안 그룹 규칙이 제공하는 인바운드 및 아웃바운드 액세스에 최소 권한을 적용하는 보안 모범 사례를 사용하는 것이 좋습니다. 인바운드 규칙 구성이 지나치게 허용되면 VPC에 액세스할 수 있는 사용자가 인증 없이 다른 사용자 프로필의 애플리케이션과 상호 작용할 수 있습니다.
다음 트래픽을 허용하는 인바운드 및 아웃바운드 규칙을 사용하여 하나 이상의 보안 그룹을 설정합니다.
+ 도메인과 Amazon EFS 볼륨 사이의 [포트 2049에서 TCP를 통한 NFS 트래픽](https://docs.aws.amazon.com/efs/latest/ug/network-access.html).
+ [보안 그룹 내의 TCP 트래픽](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). 이는 Jupyter Server애플리케이션과 Kernel Gateway애플리케이션 간의 연결에 필요합니다. `8192-65535` 범위 내 최소 포트에 대한 액세스를 허용해야 합니다.
각 사용자 프로필에 대해 고유한 보안 그룹을 만들고 동일한 보안 그룹의 인바운드 액세스를 추가하세요. 사용자 프로필에 도메인 수준 보안 그룹을 재사용하지 않는 것이 좋습니다. 도메인 수준 보안 그룹이 자체로의 인바운드 액세스를 허용하면 도메인의 모든 애플리케이션이 도메인의 다른 모든 애플리케이션에 액세스할 수 있게 됩니다.
1. 인터넷 액세스를 허용하려면 [인터넷 게이트웨이](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) 등을 통해 인터넷에 액세스할 수 있는 [NAT 게이트웨이](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with)를 사용해야 합니다.
1. 인터넷 액세스를 제거하려면 [인터페이스 VPC 엔드포인트(PrivateLink)를 생성](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)하여 Studio가 해당 서비스 이름으로 다음 서비스에 액세스할 수 있도록 합니다.AWS PrivateLink 또한 VPC의 보안 그룹을 이러한 엔드포인트와 연결해야 합니다.
+ SageMaker API : `com.amazonaws.region.sagemaker.api`
+ SageMaker AI 런타임: `com.amazonaws.region.sagemaker.runtime`. 이는 Studio 노트북을 실행하고 모델을 훈련 및 호스팅하는 데 필요합니다.
+ Amazon S3: `com.amazonaws.region.s3`.
+ SageMaker 프로젝트를 사용하려면: `com.amazonaws.region.servicecatalog`.
+ 필요한 기타 AWS 서비스.
[SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable/)를 사용하여 원격 훈련 작업을 실행하는 경우 다음과 같은 Amazon VPC 엔드포인트도 생성해야 합니다.
+ AWS Security Token Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch: `com.amazonaws.region.logs`. 이는 SageMaker Python SDK가 원격 훈련 작업 상태를 가져올 수 있도록 허용하는 데 필요합니다 Amazon CloudWatch.
**참고**
VPC 모드에서 작업하는 고객의 경우 회사 방화벽으로 인해 SageMaker Studio 또는 JupyterServer와 KernelGateway 간의 연결 문제가 발생할 수 있습니다. 방화벽 뒤에서 SageMaker Studio를 사용할 때 이러한 문제 중 하나가 발생하는 경우 다음 사항을 확인하세요.
Studio URL이 네트워크 허용 목록에 있는지 확인하세요.
WebSocket 연결이 차단되지 않았는지 확인하세요. Jupyter는 내부적으로 WebSocket을 사용합니다. KernelGateway 애플리케이션이 서비스 중인 경우 JupyterServer가 KernelGateway에 연결하지 못할 수 있습니다. 시스템 터미널을 열 때도 이 문제가 나타날 것입니다.
**자세한 정보**
+ [프라이빗 VPC를 사용하여 Amazon SageMaker Studio 연결 보호](https://aws.amazon.com/blogs/machine-learning/securing-amazon-sagemaker-studio-connectivity-using-a-private-vpc).
+ [VPC의 보안 그룹](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
+ [VPC 내에서 SageMaker AI에 연결](interface-vpc-endpoint.md)
+ [퍼블릭 및 프라이빗 서브넷이 있는 VPC(NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
# VPC의 노트북 인스턴스를 외부 리소스에 연결
다음 주제에서는 VPC에서 사용자의 노트북를 외부 리소스에 연결하는 방법에 대한 정보를 제공합니다.
## 인터넷과의 기본 통신
노트북에서 *직접 인터넷 액세스*를 허용하는 경우, SageMaker AI는 SageMaker AI에서 관리하는 VPC를 통해 노트북이 인터넷과 통신할 수 있도록 네트워크 인터페이스를 제공합니다. VPC의 CIDR 내 트래픽은 VPC에서 생성된 탄력적 네트워크 인터페이스(ENI)를 통과합니다. 다른 모든 트래픽은 SageMaker AI에서 생성된 네트워크 인터페이스를 통과하며, 이는 본질적으로 퍼블릭 인터넷을 거칩니다. Amazon S3 및 DynamoDB와 같은 게이트웨이 VPC 엔드포인트의 트래픽은 퍼블릭 인터넷을 통해 거치지만, 인터페이스 VPC 엔드포인트의 트래픽은 여전히 VPC를 통과합니다. 게이트웨이 VPC 엔드포인트를 사용하기 위해 직접 인터넷 액세스를 비활성화해야 할 수 있습니다.
## 인터넷과의 VPC 전용 통신
직접 인터넷 액세스를 비활성화하려면 노트북 인스턴스에 대한 VPC를 지정하면 됩니다. 이렇게 하면 SageMaker AI가 노트북 인스턴스에 대한 인터넷 액세스를 제공할 수 없습니다. 그 결과 VPC에 인터페이스 엔드포인트(AWS PrivateLink) 또는 NAT 게이트웨이가 있고 보안 그룹에서 아웃바운드 연결을 허용하는 경우를 제외하고는 노트북 인스턴스로 모델을 훈련 또는 호스팅할 수 없습니다.
노트북 인스턴스에 사용할 VPC 인터페이스 엔드포인트 생성에 AWS PrivateLink 대한 자세한 내용은 섹션을 참조하세요[VPC 인터페이스 엔드포인트를 통해 노트북 인스턴스에 연결](notebook-interface-endpoint.md). VPC용 NAT 게이트웨이 설정에 대한 자세한 내용은 Amazon 가상 사설 클라우드 사용 설명서의 [퍼블릭 및 프라이빗 서브넷이 있는 VPC(NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-example-private-subnets-nat.html)를 참조하세요.** 보안 그룹에 대한 내용은 [VPC의 보안 그룹](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html) 섹션을 참조하세요. 각 네트워킹 모드의 네트워킹 구성 및 온프레미스 네트워크 구성에 대한 자세한 내용은 [Amazon SageMaker 노트북 인스턴스 네트워킹 구성 및 고급 라우팅 옵션 이해](https://aws.amazon.com/blogs/machine-learning/understanding-amazon-sagemaker-notebook-instance-networking-configurations-and-advanced-routing-options/)를 참조하세요.
**주의**
노트북 인스턴스에 VPC를 사용하는 경우 인스턴스의 네트워킹 구성을 부분적으로 소유하게 됩니다. 보안 모범 사례로, 보안 그룹 규칙으로 허용하는 인바운드 및 아웃바운드 액세스에 최소 권한을 적용하는 것이 좋습니다. 지나치게 허용적인 인바운드 규칙 구성을 적용하면 VPC에 액세스할 수 있는 사용자가 인증 없이 Jupyter Notebook에 액세스할 수 있습니다.
## 보안 및 공유 노트북 인스턴스
SageMaker 노트북 인스턴스는 개별 사용자에 대해 최적으로 작동하도록 설계되었습니다. 데이터 과학자 및 기타 사용자에게 개발 환경 관리에 필요한 최대 성능을 제공하도록 설계되었습니다.
노트북 인스턴스 사용자는 패키지 및 기타 관련 소프트웨어 설치에 대한 루트 액세스를 보유합니다. VPC에 연결되어 민감한 정보를 포함하는 노트북 인스턴스에 대한 개별 액세스를 허용할 때 판단을 연습하는 것이 좋습니다. 예를 들어 다음 예시와 같이 사전 서명된 노트북 URL을 생성하는 권한을 부여하여 IAM 정책으로 노트북 인스턴스에 대한 사용자 액세스를 허용할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:notebook-instance/myNotebookInstance"
}
]
}
```
------