Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verbindung zu einem MLflow Tracking-Server über einen Interface VPC-Endpunkt herstellen
<a name="mlflow-interface-endpoint"></a>

Der MLflow Tracking-Server läuft in einer Amazon Virtual Private Cloud, die von Amazon SageMaker AI verwaltet wird. Sie können von einem Endpunkt in Ihrer eigenen VPC aus eine Verbindung zu einem MLflow Tracking-Server herstellen. Ihre Anfragen an den Tracking-Server sind nicht im Internet veröffentlicht. Weitere Informationen zur Verbindung Ihrer VPC mit SageMaker KI finden Sie unter[Connect zu SageMaker KI in Ihrer VPC her](interface-vpc-endpoint.md).

**Topics**
+ [Erstellen eines VPC-Endpunktes](mlflow-interface-endpoint-create.md)
+ [Erstellen Sie eine VPC-Endpunktrichtlinie für KI SageMaker MLflow](mlflow-private-link-policy.md)
+ [Zulassen von Zugriff nur von Ihrer VPC aus](mlflow-private-link-restrict.md)

# Erstellen eines VPC-Endpunktes
<a name="mlflow-interface-endpoint-create"></a>

Sie können einen Schnittstellenendpunkt erstellen, um eine Verbindung mit SageMaker KI MLflow herzustellen. Anweisungen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Stellen Sie sicher, dass Sie Schnittstellenendpunkte für alle Subnetze in Ihrer VPC erstellen, von denen aus Sie eine Verbindung zu KI herstellen möchten. SageMaker MLflow 

Wenn Sie einen Schnittstellenendpunkt erstellen, stellen Sie sicher, dass die Sicherheitsgruppen auf Ihrem Endpunkt den eingehenden und ausgehenden Zugriff für HTTPS-Datenverkehr zulassen. Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).

**Anmerkung**  
Erstellen Sie nicht nur einen Schnittstellenendpunkt für die Verbindung mit SageMaker KI MLflow, sondern auch einen Schnittstellenendpunkt für die Verbindung mit der SageMaker Amazon-API. Wenn Benutzer aufrufen [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html), um die URL für die Verbindung mit SageMaker KI abzurufen MLflow, erfolgt dieser Aufruf über den Schnittstellenendpunkt, der für die Verbindung mit der SageMaker API verwendet wird.

Wenn Sie den Schnittstellenendpunkt erstellen, geben Sie **aws.sagemaker.*AWS-Region*.experiments** als Service-Namen an. Nachdem Sie den Schnittstellenendpunkt erstellt haben, aktivieren Sie privates DNS für Ihren Endpunkt. Wenn Sie mithilfe des SageMaker Python-SDK MLflow von der VPC aus eine Verbindung zu SageMaker KI herstellen, stellen Sie die Verbindung über den Schnittstellenendpunkt statt über das öffentliche Internet her.

Innerhalb von können Sie das folgende Verfahren verwenden AWS-Managementkonsole, um einen Endpunkt zu erstellen.

**So erstellen Sie einen Endpunkt**

1. Navigieren Sie zur Konsole der [Amazon Virtual Private Cloud](https://console.aws.amazon.com/vpcconsole).

1. Navigieren Sie zu **Endpoints**.

1. Wählen Sie **Endpunkt erstellen** aus.

1. (Optional) Geben Sie unter **Name (Tag)** einen Namen für den Endpunkt an.

1. Geben Sie in der Suchleiste unter **Dienste** die Option **Experimente** an.

1. Wählen Sie den Endpunkt aus, den Sie erstellen.

1. Geben Sie unter **VPC** den Namen der Gruppe an.

1. Wählen Sie **Endpunkt erstellen** aus.

# Erstellen Sie eine VPC-Endpunktrichtlinie für KI SageMaker MLflow
<a name="mlflow-private-link-policy"></a>

Sie können eine Amazon VPC-Endpunktrichtlinie an die Schnittstellen-VPC-Endpunkte anhängen, die Sie für die Verbindung mit KI verwenden. SageMaker MLflow Die Endpunktrichtlinie steuert den Zugriff auf. MLflow Sie können Folgendes angeben:
+ Prinzipal, der die Aktionen ausführen kann.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, für die Aktionen ausgeführt werden können. 

Weitere Informationen finden Sie unter [Steuern des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).

Das folgende Beispiel für eine VPC-Endpunktrichtlinie gibt an, dass alle Benutzer, die Zugriff auf den Endpunkt haben, auf den von Ihnen angegebenen MLflow Tracking-Server zugreifen dürfen. Der Zugriff auf andere Tracking-Server wird abgelehnt.

```
{
    "Statement": [
        {
            "Action": "sagemaker-mlflow:*",
            "Effect": "Allow",
            "Principal": "*",
            "Resource": "arn:aws:sagemaker:AWS-Region:111122223333:mlflow-tracking-server/*"
        }
    ]
}
```

# Zulassen von Zugriff nur von Ihrer VPC aus
<a name="mlflow-private-link-restrict"></a>

Benutzer außerhalb Ihrer VPC können sich mit SageMaker KI MLflow oder über das Internet verbinden, auch wenn Sie in Ihrer VPC einen Schnittstellenendpunkt einrichten.

Um den Zugriff nur auf Verbindungen zu ermöglichen, die von Ihrer VPC aus hergestellt wurden, erstellen Sie eine entsprechende AWS Identity and Access Management (IAM-) Richtlinie. Fügen Sie diese Richtlinie allen Benutzern, Gruppen oder Rollen hinzu, die für den Zugriff auf SageMaker KI verwendet werden. MLflow Dieses Feature wird nur bei Verwendung des IAM-Modus für die Authentifizierung unterstützt und ist im Modus IAM Identity Center nicht verfügbar. Die folgenden Beispiele veranschaulichen, wie solche Richtlinien erstellt werden.

**Wichtig**  
Wenn Sie eine IAM-Richtlinie anwenden, die einem der folgenden Beispiele ähnelt, können Benutzer nicht MLflow über die angegebene SageMaker APIs AI-Konsole auf SageMaker SageMaker KI zugreifen. Um auf SageMaker KI zuzugreifen MLflow, müssen Benutzer eine vorsignierte URL verwenden oder die SageMaker APIs URL direkt aufrufen.

**Beispiel 1: Verbindungen nur innerhalb des Subnetzes eines Schnittstellenendpunkts zulassen**

Die folgende Richtlinie erlaubt nur Verbindungen zu Anrufern innerhalb des Teilnetzes, in dem Sie den Schnittstellenendpunkt erstellt haben.

------
#### [ JSON ]

****  

```
{
    "Id": "mlflow-example-1",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-111bbaaa"
                }
            }
        }
    ]
}
```

------

**Beispiel 2: Verbindungen nur über Schnittstellenendpunkte zulassen mit `aws:sourceVpce`**

Die folgende Richtlinie erlaubt nur Verbindungen zu Verbindungen, die über die durch den `aws:sourceVpce` Bedingungsschlüssel angegebenen Schnittstellenendpunkte hergestellt werden. Beispielsweise könnte der erste Schnittstellenendpunkt den Zugriff über die SageMaker AI-Konsole ermöglichen. Der zweite Schnittstellenendpunkt könnte den Zugriff über die SageMaker API ermöglichen.

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-mlflow-example-2",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}
```

------

**Beispiel 3: Verbindungen von IP-Adressen zulassen mit `aws:SourceIp` **

Die folgende Richtlinie erlaubt nur Verbindungen aus dem angegebenen IP-Adressbereich unter Verwendung des `aws:SourceIp` Bedingungsschlüssels.

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-mlflow-example-3",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            }
        }
    ]
}
```

------

**Beispiel 4: Verbindungen von IP-Adressen über einen Schnittstellenendpunkt zulassen mit `aws:VpcSourceIp`** 

Wenn Sie MLflow über einen Schnittstellenendpunkt auf SageMaker AI zugreifen, können Sie den `aws:VpcSourceIp` Bedingungsschlüssel verwenden, um Verbindungen nur aus dem angegebenen IP-Adressbereich innerhalb des Subnetzes zuzulassen, in dem Sie den Schnittstellenendpunkt erstellt haben, wie in der folgenden Richtlinie dargestellt:

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-mlflow-example-4",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                },
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}
```

------