Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Los usuarios ajenos a su VPC pueden conectarse a la SageMaker IA MLflow o a través de Internet, incluso si configura un punto final de interfaz en su VPC.
Para permitir el acceso únicamente a las conexiones realizadas desde su VPC, cree una política de AWS Identity and Access Management (IAM) a tal efecto. Añada esa política a cada usuario, grupo o función que utilice para acceder SageMaker a la IA. MLflow Esta característica solo se admite cuando se utiliza el modo IAM para la autenticación y no en el modo IAM Identity Center. En los siguientes ejemplos se muestra cómo crear dichas políticas.
importante
Si aplicas una política de IAM similar a uno de los siguientes ejemplos, los usuarios no podrán acceder a la SageMaker IA a MLflow través de la especificada a SageMaker APIs través de la consola de SageMaker IA. Para acceder a la SageMaker IA MLflow, los usuarios deben utilizar una URL prefirmada o llamarla directamente. SageMaker APIs
Ejemplo 1: Permitir las conexiones solo dentro de la subred de un punto de conexión de interfaz
La siguiente política únicamente permite las conexiones a los intermediarios que se encuentren dentro de una subred en la que se haya creado un punto de conexión de interfaz.
{
"Id": "mlflow-example-1",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}Ejemplo 2: Permitir las conexiones solo a través de los puntos de conexión de la interfaz mediante aws:sourceVpce
La siguiente política solo permite las conexiones que se realizan a través de los puntos de conexión de interfaz especificados en la clave de condición aws:sourceVpce. Por ejemplo, el primer punto final de la interfaz podría permitir el acceso a través de la consola de SageMaker IA. El segundo punto final de la interfaz podría permitir el acceso a través de la SageMaker API.
{
"Id": "sagemaker-mlflow-example-2",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}Ejemplo 3: Permitir las conexiones desde las direcciones IP mediante aws:SourceIp
La siguiente política permite las conexiones solo desde el rango especificado de direcciones IP mediante la clave de condición aws:SourceIp.
{
"Id": "sagemaker-mlflow-example-3",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}Ejemplo 4: Permitir las conexiones desde las direcciones IP a través de un punto de conexión de interfaz mediante aws:VpcSourceIp
Si accede a la SageMaker IA a MLflow través de un punto final de la interfaz, puede usar la clave de aws:VpcSourceIp condición para permitir las conexiones únicamente desde el rango especificado de direcciones IP dentro de la subred en la que creó el punto final de la interfaz, como se muestra en la siguiente política:
{
"Id": "sagemaker-mlflow-example-4",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}