Permitir o acesso somente de dentro da sua VPC - SageMaker Inteligência Artificial da Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permitir o acesso somente de dentro da sua VPC

Usuários fora da sua VPC podem se conectar à SageMaker IA MLflow ou pela Internet, mesmo que você configure um endpoint de interface na sua VPC.

Para permitir o acesso somente às conexões feitas de dentro da sua VPC, crie uma política do (IAM) AWS Identity and Access Management para esse efeito. Adicione essa política a cada usuário, grupo ou função usada para acessar a SageMaker IA MLflow. Esse atributo só é compatível com o modo do IAM para autenticação, e não com o modo do Centro de Identidade do IAM. Os exemplos a seguir demonstram como criar essas políticas.

Importante

Se você aplicar uma política de IAM semelhante a um dos exemplos a seguir, os usuários não poderão acessar a SageMaker IA MLflow por meio do especificado SageMaker APIs por meio do console de SageMaker IA. Para acessar a SageMaker IA MLflow, os usuários devem usar uma URL pré-assinada ou ligar SageMaker APIs diretamente para ela.

Exemplo 1: permitir conexões somente dentro da sub-rede de um endpoint de interface

A política a seguir permite conexões somente para chamadores em uma sub-rede na qual você criou um endpoint de interface.

JSON
{
    "Id": "mlflow-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}

Exemplo 2: permitir conexões somente por meio de endpoints de interface usando aws:sourceVpce

A política a seguir permite conexões somente com aquelas feitas por meio dos endpoints de interface especificados pela chave de condição aws:sourceVpce. Por exemplo, o primeiro endpoint da interface pode permitir o acesso por meio do console de SageMaker IA. O segundo endpoint da interface pode permitir o acesso por meio da SageMaker API.

JSON
{
    "Id": "sagemaker-mlflow-example-2",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}

Exemplo 3: permitir conexões de endereços IP usando aws:SourceIp

A política a seguir permite conexões somente do intervalo especificado de endereços IP usando a chave de condição aws:SourceIp.

JSON
{
    "Id": "sagemaker-mlflow-example-3",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            }
        }
    ]
}

Exemplo 4: permitir conexões de endereços IP por meio de um endpoint de interface usando aws:VpcSourceIp

Se você estiver acessando a SageMaker IA MLflow por meio de um endpoint de interface, poderá usar a chave de aws:VpcSourceIp condição para permitir conexões somente do intervalo especificado de endereços IP na sub-rede em que você criou o endpoint da interface, conforme mostrado na política a seguir:

JSON
{
    "Id": "sagemaker-mlflow-example-4",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                },
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}