Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configuración de puntos de enlace de VPC de interfaz para Amazon Unified Studio MCP SageMaker
<a name="spark-troubleshooting-agent-vpc-endpoints"></a>

Puede establecer una conexión privada entre su VPC y el servicio MCP de Amazon SageMaker Unified Studio mediante la creación de un punto de enlace de *VPC* de interfaz. Los puntos de enlace de la interfaz funcionan con [Amazon VPC](https://aws.amazon.com/vpc/), lo que le permite acceder de forma privada al servidor MCP de su VPC sin necesidad de una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con el servicio MCP y el tráfico entre su VPC y el servicio MCP no sale de la red de Amazon.

Cada punto final de la interfaz está representado por una o más [interfaces de red elásticas en las](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) subredes de la VPC. Para obtener más información, consulte los [puntos de conexión de VPC de interfaz en la Guía](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) del usuario de Amazon *VPC*.

## Paso 1: Crear un punto de enlace de VPC de interfaz para Amazon SageMaker Unified Studio MCP
<a name="create-vpc-endpoint"></a>

Puede crear un punto de enlace de VPC para el servicio MCP de Amazon SageMaker Unified Studio mediante la consola de Amazon VPC o la. AWS CLI Para obtener más información, consulte [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) en la *Guía del usuario de Amazon VPC*.

Cree un punto de enlace de VPC para Amazon SageMaker Unified Studio MCP con el siguiente nombre de servicio:
+ com.amazonaws. *<aws-region>*. sagemaker-unified-studio-mcp

Si habilita el DNS privado para el punto final, puede realizar solicitudes de API a Amazon SageMaker Unified Studio MCP utilizando su nombre de DNS predeterminado para la región, por ejemplo, `sagemaker-unified-studio-mcp.us-east-1.api.aws`

Para más información, consulte [Acceso a un servicio a través de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) en la *Guía del usuario de Amazon VPC*.

## Paso 2: Crear una política de puntos de conexión de VPC para Amazon SageMaker Unified Studio MCP
<a name="create-vpc-endpoint-policy"></a>

Puede adjuntar una política de punto final a su punto de enlace de VPC que controle el acceso al MCP de Amazon SageMaker Unified Studio. La política especifica la siguiente información:
+ La entidad principal que puede realizar acciones.
+ Las acciones que se pueden realizar.
+ Los recursos en los que se pueden llevar a cabo las acciones.

Para más información, consulte [Control del acceso a los servicios con puntos de enlace de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) en la *Guía del usuario de Amazon VPC*.

### Ejemplo: política de punto final de VPC para permitir el acceso del MCP a un rol de IAM específico
<a name="vpc-endpoint-policy-example"></a>

El siguiente es un ejemplo de una política de puntos de conexión para el acceso al MCP de Amazon SageMaker Unified Studio. Cuando se adjunta a un punto final, esta política otorga acceso a las acciones de MCP de Amazon SageMaker Unified Studio enumeradas para un rol principal de IAM específico en todos los recursos.

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::ACCOUNT-ID:role/YourRoleName"
      },
      "Action": [
        "sagemaker-unified-studio-mcp:InvokeMcp",
        "sagemaker-unified-studio-mcp:CallReadOnlyTool",
        "sagemaker-unified-studio-mcp:CallPrivilegedTool"
      ],
      "Resource": "*"
    }
  ]
}
```

## Paso 3: Probar su VPC
<a name="test-vpc-endpoint"></a>

El `curl` comando valida la conectividad de end-to-end red desde la red de VPC (EC2) al punto final de la VPC mediante una solicitud. HTTP/HTTPS Una respuesta curl al recibir un mensaje del servidor MCP confirma que la ruta de red completa funciona.

### Método 1: con el DNS privado activado (recomendado)
<a name="test-private-dns-enabled"></a>

```
curl https://sagemaker-unified-studio-mcp.us-east-1.api.aws/spark-troubleshooting/mcp
```

### Método 2: sin el DNS privado habilitado
<a name="test-private-dns-disabled"></a>

```
curl -k https://vpce-0069xxxx-ejwhxxx.sagemaker-unified-studio-mcp.us-east-1.vpce.amazonaws.com/spark-troubleshooting/mcp
```

**nota**  
El `-k` indicador omite la verificación del certificado SSL debido a la falta de coincidencia del nombre de host entre el nombre DNS del punto final de la VPC y el nombre común (CN) del certificado.

En ambos casos, el comando curl devuelve una respuesta:. `{"Message":"...."}` Al volver con un mensaje, se comprueba que la conectividad de la ruta de red con el punto final de la VPC del servicio MCP es correcta.

## Paso 4: Comience a usar el punto final de VPC MCP
<a name="use-vpc-endpoint"></a>

Una vez que haya verificado la conexión, puede seguir los pasos para configurar el MCP in. [Configuración del agente de solución de problemas](spark-troubleshooting-agent-setup.md) Solo tiene que utilizar el punto de conexión de VPC privado en su configuración de MCP.