Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Zulassen von Zugriff nur von Ihrer VPC aus Benutzer außerhalb Ihrer VPC können sich mit SageMaker KI MLflow oder über das Internet verbinden, auch wenn Sie in Ihrer VPC einen Schnittstellenendpunkt einrichten. Um den Zugriff nur auf Verbindungen zu ermöglichen, die von Ihrer VPC aus hergestellt wurden, erstellen Sie eine entsprechende AWS Identity and Access Management (IAM-) Richtlinie. Fügen Sie diese Richtlinie allen Benutzern, Gruppen oder Rollen hinzu, die für den Zugriff auf SageMaker KI verwendet werden. MLflow Dieses Feature wird nur bei Verwendung des IAM-Modus für die Authentifizierung unterstützt und ist im Modus IAM Identity Center nicht verfügbar. Die folgenden Beispiele veranschaulichen, wie solche Richtlinien erstellt werden. **Wichtig** Wenn Sie eine IAM-Richtlinie anwenden, die einem der folgenden Beispiele ähnelt, können Benutzer nicht MLflow über die angegebene SageMaker APIs AI-Konsole auf SageMaker SageMaker KI zugreifen. Um auf SageMaker KI zuzugreifen MLflow, müssen Benutzer eine vorsignierte URL verwenden oder die SageMaker APIs URL direkt aufrufen. **Beispiel 1: Verbindungen nur innerhalb des Subnetzes eines Schnittstellenendpunkts zulassen** Die folgende Richtlinie erlaubt nur Verbindungen zu Anrufern innerhalb des Teilnetzes, in dem Sie den Schnittstellenendpunkt erstellt haben. ------ #### [ JSON ] **** ``` { "Id": "mlflow-example-1", "Version":"2012-10-17", "Statement": [ { "Sid": "MlflowAccess", "Effect": "Allow", "Action": [ "sagemaker-mlflow:*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpce": "vpce-111bbaaa" } } } ] } ``` ------ **Beispiel 2: Verbindungen nur über Schnittstellenendpunkte zulassen mit `aws:sourceVpce`** Die folgende Richtlinie erlaubt nur Verbindungen zu Verbindungen, die über die durch den `aws:sourceVpce` Bedingungsschlüssel angegebenen Schnittstellenendpunkte hergestellt werden. Beispielsweise könnte der erste Schnittstellenendpunkt den Zugriff über die SageMaker AI-Konsole ermöglichen. Der zweite Schnittstellenendpunkt könnte den Zugriff über die SageMaker API ermöglichen. ------ #### [ JSON ] **** ``` { "Id": "sagemaker-mlflow-example-2", "Version":"2012-10-17", "Statement": [ { "Sid": "MlflowAccess", "Effect": "Allow", "Action": [ "sagemaker-mlflow:*" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": [ "vpce-111bbccc", "vpce-111bbddd" ] } } } ] } ``` ------ **Beispiel 3: Verbindungen von IP-Adressen zulassen mit `aws:SourceIp` ** Die folgende Richtlinie erlaubt nur Verbindungen aus dem angegebenen IP-Adressbereich unter Verwendung des `aws:SourceIp` Bedingungsschlüssels. ------ #### [ JSON ] **** ``` { "Id": "sagemaker-mlflow-example-3", "Version":"2012-10-17", "Statement": [ { "Sid": "MlflowAccess", "Effect": "Allow", "Action": [ "sagemaker-mlflow:*" ], "Resource": "*", "Condition": { "IpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "203.0.113.0/24" ] } } } ] } ``` ------ **Beispiel 4: Verbindungen von IP-Adressen über einen Schnittstellenendpunkt zulassen mit `aws:VpcSourceIp`** Wenn Sie MLflow über einen Schnittstellenendpunkt auf SageMaker AI zugreifen, können Sie den `aws:VpcSourceIp` Bedingungsschlüssel verwenden, um Verbindungen nur aus dem angegebenen IP-Adressbereich innerhalb des Subnetzes zuzulassen, in dem Sie den Schnittstellenendpunkt erstellt haben, wie in der folgenden Richtlinie dargestellt: ------ #### [ JSON ] **** ``` { "Id": "sagemaker-mlflow-example-4", "Version":"2012-10-17", "Statement": [ { "Sid": "MlflowAccess", "Effect": "Allow", "Action": [ "sagemaker-mlflow:*" ], "Resource": "*", "Condition": { "IpAddress": { "aws:VpcSourceIp": [ "192.0.2.0/24", "203.0.113.0/24" ] }, "StringEquals": { "aws:SourceVpc": "vpc-111bbaaa" } } } ] } ``` ------