View a markdown version of this page

Zulassen von Zugriff nur von Ihrer VPC aus - Amazon SageMaker KI

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zulassen von Zugriff nur von Ihrer VPC aus

Benutzer außerhalb Ihrer VPC können sich mit SageMaker AI MLflow oder über das Internet verbinden, auch wenn Sie in Ihrer VPC einen Schnittstellenendpunkt eingerichtet haben.

Um den Zugriff nur auf Verbindungen zu ermöglichen, die von Ihrer VPC aus hergestellt wurden, erstellen Sie eine entsprechende AWS Identity and Access Management (IAM-) Richtlinie. Fügen Sie diese Richtlinie allen Benutzern, Gruppen oder Rollen hinzu, die für den Zugriff auf SageMaker AI MLflow verwendet werden. Dieses Feature wird nur bei Verwendung des IAM-Modus für die Authentifizierung unterstützt und ist im Modus IAM Identity Center nicht verfügbar. Die folgenden Beispiele veranschaulichen, wie solche Richtlinien erstellt werden.

Wichtig

Wenn Sie eine IAM-Richtlinie anwenden, die einem der folgenden Beispiele ähnelt, können Benutzer nicht über die angegebenen SageMaker APIs über die SageMaker KI-Konsole auf AI MLflow zugreifen. SageMaker Um auf SageMaker AI MLflow zuzugreifen, müssen Benutzer eine vorsignierte URL verwenden oder die APIs direkt aufrufen. SageMaker

Beispiel 1: Verbindungen nur innerhalb des Subnetzes eines Schnittstellenendpunkts zulassen

Die folgende Richtlinie erlaubt nur Verbindungen zu Anrufern innerhalb des Teilnetzes, in dem Sie den Schnittstellenendpunkt erstellt haben.

JSON
{
    "Id": "mlflow-example-1",
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-111bbaaa"
                }
            }
        }
    ]
}

Beispiel 2: Verbindungen nur über Schnittstellenendpunkte zulassen mit aws:sourceVpce

Die folgende Richtlinie erlaubt nur Verbindungen zu Verbindungen, die über die durch den aws:sourceVpce Bedingungsschlüssel angegebenen Schnittstellenendpunkte hergestellt werden. Beispielsweise könnte der erste Schnittstellenendpunkt den Zugriff über die SageMaker AI-Konsole ermöglichen. Der zweite Schnittstellenendpunkt könnte den Zugriff über die SageMaker API ermöglichen.

JSON
{
    "Id": "sagemaker-mlflow-example-2",
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}

Beispiel 3: Verbindungen von IP-Adressen zulassen mit aws:SourceIp

Die folgende Richtlinie erlaubt nur Verbindungen aus dem angegebenen IP-Adressbereich unter Verwendung des aws:SourceIp Bedingungsschlüssels.

JSON
{
    "Id": "sagemaker-mlflow-example-3",
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            }
        }
    ]
}

Beispiel 4: Verbindungen von IP-Adressen über einen Schnittstellenendpunkt zulassen mit aws:VpcSourceIp

Wenn Sie über einen Schnittstellenendpunkt auf SageMaker AI MLflow zugreifen, können Sie den aws:VpcSourceIp Bedingungsschlüssel verwenden, um Verbindungen nur aus dem angegebenen IP-Adressbereich innerhalb des Subnetzes zuzulassen, in dem Sie den Schnittstellenendpunkt erstellt haben, wie in der folgenden Richtlinie dargestellt:

JSON
{
    "Id": "sagemaker-mlflow-example-4",
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                },
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}