Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Conexión a un servidor MLflow de seguimiento a través de un punto final de VPC de interfaz
<a name="mlflow-interface-endpoint"></a>

El servidor MLflow de seguimiento se ejecuta en una Amazon Virtual Private Cloud gestionada por Amazon SageMaker AI. Puede conectarse a un servidor MLflow de seguimiento desde un punto final de su propia VPC. Las solicitudes que se envían al servidor de seguimiento no se exponen a la red pública de Internet. Para obtener más información sobre cómo conectar la VPC a la SageMaker IA, consulte. [Conéctese a la SageMaker IA desde su VPC](interface-vpc-endpoint.md)

**Topics**
+ [Crear un punto de enlace de la VPC](mlflow-interface-endpoint-create.md)
+ [Cree una política de puntos finales de VPC para IA SageMaker MLflow](mlflow-private-link-policy.md)
+ [Concesión de acceso únicamente desde su VPC](mlflow-private-link-restrict.md)

# Crear un punto de enlace de la VPC
<a name="mlflow-interface-endpoint-create"></a>

Puede crear un punto final de interfaz para conectarse a la SageMaker IA MLflow. Para obtener instrucciones, consulte [Creating an interface endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Asegúrese de crear puntos de conexión de interfaz para todas las subredes de la VPC desde las que desee conectarse a la IA. SageMaker MLflow 

Al crear un punto de conexión de interfaz, asegúrese de que los grupos de seguridad de su punto de conexión permitan el acceso entrante al tráfico HTTPS. Para obtener más información, consulte [Control access to services with VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).

**nota**  
Además de crear un punto final de interfaz para conectarse a la SageMaker IA MLflow, cree un punto final de interfaz para conectarse a la SageMaker API de Amazon. Cuando los usuarios llaman [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html)para obtener la URL para conectarse a la SageMaker IA MLflow, esa llamada pasa por el punto final de la interfaz utilizado para conectarse a la SageMaker API.

Cuando cree el punto de conexión de interfaz, especifique **aws.sagemaker.*Región de AWS*.experiments** como nombre del servicio. Después de crear un punto de conexión de interfaz, habilite un DNS privado para su punto de conexión. Cuando te conectas a la SageMaker IA MLflow desde la VPC mediante el SDK de SageMaker Python, te conectas a través del punto final de la interfaz en lugar de a través de la Internet pública.

Dentro de Consola de administración de AWS, puedes usar el siguiente procedimiento para crear un punto final.

**Creación de un punto de conexión**

1. Navegue hasta la [consola de Amazon Virtual Private Cloud](https://console.aws.amazon.com/vpcconsole).

1. Navegue hasta **Puntos de conexión**.

1. Seleccione **Crear punto de conexión**.

1. (Opcional) En **Nombre (etiqueta)**, especifique un nombre de etiqueta para el punto de conexión.

1. En la barra de búsqueda situada bajo **Servicios**, especifique **Experimentos**.

1. Seleccione el punto de conexión que va a crear.

1. En **VPC**, especifique el nombre de la VPC.

1. Seleccione **Crear punto de conexión**.

# Cree una política de puntos finales de VPC para IA SageMaker MLflow
<a name="mlflow-private-link-policy"></a>

Puede adjuntar una política de puntos de conexión de Amazon VPC a los puntos de enlace de la interfaz de VPC que utilice para conectarse a la IA. SageMaker MLflow La política de puntos finales controla el acceso a. MLflow Puede especificar lo siguiente:
+ La entidad principal que puede realizar acciones.
+ Las acciones que se pueden realizar.
+ Los recursos en los que se pueden llevar a cabo las acciones. 

Para obtener más información, consulte [Control del acceso a los servicios con puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).

El siguiente ejemplo de una política de punto final de VPC especifica que todos los usuarios que tienen acceso al punto final pueden acceder al servidor MLflow de seguimiento que especifique. Se deniega el acceso a otros servidores de seguimiento.

```
{
    "Statement": [
        {
            "Action": "sagemaker-mlflow:*",
            "Effect": "Allow",
            "Principal": "*",
            "Resource": "arn:aws:sagemaker:Región de AWS:111122223333:mlflow-tracking-server/*"
        }
    ]
}
```

# Concesión de acceso únicamente desde su VPC
<a name="mlflow-private-link-restrict"></a>

Los usuarios ajenos a su VPC pueden conectarse a la SageMaker IA MLflow o a través de Internet, incluso si configura un punto final de interfaz en su VPC.

Para permitir el acceso únicamente a las conexiones realizadas desde su VPC, cree una política de AWS Identity and Access Management (IAM) a tal efecto. Añada esa política a cada usuario, grupo o función que utilice para acceder SageMaker a la IA. MLflow Esta característica solo se admite cuando se utiliza el modo IAM para la autenticación y no en el modo IAM Identity Center. En los siguientes ejemplos se muestra cómo crear dichas políticas.

**importante**  
Si aplicas una política de IAM similar a uno de los siguientes ejemplos, los usuarios no podrán acceder a la SageMaker IA a MLflow través de la especificada a SageMaker APIs través de la consola de SageMaker IA. Para acceder a la SageMaker IA MLflow, los usuarios deben utilizar una URL prefirmada o llamarla directamente. SageMaker APIs

**Ejemplo 1: Permitir las conexiones solo dentro de la subred de un punto de conexión de interfaz**

La siguiente política únicamente permite las conexiones a los intermediarios que se encuentren dentro de una subred en la que se haya creado un punto de conexión de interfaz.

------
#### [ JSON ]

****  

```
{
    "Id": "mlflow-example-1",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-111bbaaa"
                }
            }
        }
    ]
}
```

------

**Ejemplo 2: Permitir las conexiones solo a través de los puntos de conexión de la interfaz mediante `aws:sourceVpce`**

La siguiente política solo permite las conexiones que se realizan a través de los puntos de conexión de interfaz especificados en la clave de condición `aws:sourceVpce`. Por ejemplo, el primer punto final de la interfaz podría permitir el acceso a través de la consola de SageMaker IA. El segundo punto final de la interfaz podría permitir el acceso a través de la SageMaker API.

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-mlflow-example-2",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}
```

------

**Ejemplo 3: Permitir las conexiones desde las direcciones IP mediante `aws:SourceIp`**

La siguiente política permite las conexiones solo desde el rango especificado de direcciones IP mediante la clave de condición `aws:SourceIp`.

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-mlflow-example-3",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            }
        }
    ]
}
```

------

**Ejemplo 4: Permitir las conexiones desde las direcciones IP a través de un punto de conexión de interfaz mediante `aws:VpcSourceIp`** 

Si accede a la SageMaker IA a MLflow través de un punto final de la interfaz, puede usar la clave de `aws:VpcSourceIp` condición para permitir las conexiones únicamente desde el rango especificado de direcciones IP dentro de la subred en la que creó el punto final de la interfaz, como se muestra en la siguiente política:

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-mlflow-example-4",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                },
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}
```

------