Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Connexion à un serveur MLflow de suivi via un point de terminaison VPC d'interface
<a name="mlflow-interface-endpoint"></a>

Le serveur MLflow de suivi s'exécute dans un Amazon Virtual Private Cloud géré par Amazon SageMaker AI. Vous pouvez vous connecter à un serveur MLflow de suivi depuis un point de terminaison de votre propre VPC. Vos demandes au serveur de suivi ne sont pas exposées au réseau Internet public. Pour plus d'informations sur la connexion de votre VPC à l' SageMaker IA, consultez. [Connectez-vous à l' SageMaker IA au sein de votre VPC](interface-vpc-endpoint.md)

**Topics**
+ [Création d’un point de terminaison de VPC](mlflow-interface-endpoint-create.md)
+ [Création d'une politique de point de terminaison VPC pour l'IA SageMaker MLflow](mlflow-private-link-policy.md)
+ [Autorisation de l’accès uniquement à partir de votre VPC](mlflow-private-link-restrict.md)

# Création d’un point de terminaison de VPC
<a name="mlflow-interface-endpoint-create"></a>

Vous pouvez créer un point de terminaison d'interface pour vous connecter à l' SageMaker IA MLflow. Pour obtenir des instructions, consultez [Création d’un point de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Assurez-vous de créer des points de terminaison d'interface pour tous les sous-réseaux de votre VPC à partir desquels vous souhaitez vous connecter à l'IA. SageMaker MLflow 

Lorsque vous créez un point de terminaison d’interface, assurez-vous que les groupes de sécurité de votre point de terminaison autorisent l’accès entrant et sortant pour le trafic HTTPS. Pour plus d’informations, consultez [Contrôler l’accès aux services avec les points de terminaison d’un VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).

**Note**  
En plus de créer un point de terminaison d'interface pour se connecter à l' SageMaker IA MLflow, créez un point de terminaison d'interface pour vous connecter à l' SageMaker API Amazon. Lorsque les utilisateurs appellent [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html)pour obtenir l'URL de connexion à l' SageMaker IA MLflow, cet appel passe par le point de terminaison de l'interface utilisé pour se connecter à l' SageMaker API.

Lorsque vous créez le point de terminaison d’interface, spécifiez le nom du service **aws.sagemaker.*Région AWS*.experiments**. Une fois que vous avez créé un point de terminaison d’un VPC, activez le DNS privé pour votre point de terminaison. Lorsque vous vous connectez à l' SageMaker IA MLflow depuis le VPC à l'aide du SDK SageMaker Python, vous vous connectez via le point de terminaison de l'interface plutôt que via Internet public.

Dans le AWS Management Console, vous pouvez utiliser la procédure suivante pour créer un point de terminaison.

**Pour créer un point de terminaison**

1. Accédez à la [console Amazon Virtual Private Cloud](https://console.aws.amazon.com/vpcconsole).

1. Accédez à **Points de terminaison**.

1. Choisissez **Créer un point de terminaison**.

1. (Facultatif) Pour **Nom (balise)**, spécifiez un nom pour le point de terminaison.

1. Dans la barre de recherche, sous **Services**, spécifiez **expériences**.

1. Sélectionnez le point de terminaison que vous créez.

1. Pour **VPC**, spécifiez le nom du VPC.

1. Choisissez **Créer un point de terminaison**.

# Création d'une politique de point de terminaison VPC pour l'IA SageMaker MLflow
<a name="mlflow-private-link-policy"></a>

Vous pouvez associer une politique de point de terminaison Amazon VPC aux points de terminaison VPC d'interface que vous utilisez pour vous connecter à l'IA. SageMaker MLflow La politique du point de terminaison contrôle l'accès à MLflow. Vous pouvez spécifier les éléments suivants :
+ Le principal qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées. 

Pour plus d’informations, consultez [Contrôler l’accès aux services avec les points de terminaison d’un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).

L'exemple suivant de politique de point de terminaison VPC indique que tous les utilisateurs ayant accès au point de terminaison sont autorisés à accéder au serveur de MLflow suivi que vous spécifiez. L’accès aux autres serveurs de suivi est refusé.

```
{
    "Statement": [
        {
            "Action": "sagemaker-mlflow:*",
            "Effect": "Allow",
            "Principal": "*",
            "Resource": "arn:aws:sagemaker:Région AWS:111122223333:mlflow-tracking-server/*"
        }
    ]
}
```

# Autorisation de l’accès uniquement à partir de votre VPC
<a name="mlflow-private-link-restrict"></a>

Les utilisateurs extérieurs à votre VPC peuvent se connecter à l' SageMaker IA MLflow ou via Internet même si vous configurez un point de terminaison d'interface dans votre VPC.

Pour autoriser l’accès aux seules connexions effectuées depuis votre VPC, créez une politique Gestion des identités et des accès AWS (IAM) à cet effet. Ajoutez cette politique à chaque utilisateur, groupe ou rôle utilisé pour accéder à l' SageMaker IA MLflow. Cette fonctionnalité est uniquement prise en charge lors de l’utilisation du mode IAM pour l’authentification et n’est pas prise en charge en mode IAM Identity Center. Les exemples suivants montrent comment créer de telles politiques.

**Important**  
Si vous appliquez une politique IAM similaire à l'un des exemples suivants, les utilisateurs ne peuvent pas accéder à l' SageMaker IA MLflow par le biais de la console SageMaker AI spécifiée SageMaker APIs . Pour accéder à l' SageMaker IA MLflow, les utilisateurs doivent utiliser une URL présignée ou appeler SageMaker APIs directement le.

**Exemple 1 : Autoriser les connexions uniquement dans le sous-réseau d’un point de terminaison d’interface**

La politique suivante autorise les connexions uniquement pour les appelants dans le sous-réseau où vous avez créé le point de terminaison d’interface.

------
#### [ JSON ]

****  

```
{
    "Id": "mlflow-example-1",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-111bbaaa"
                }
            }
        }
    ]
}
```

------

**Exemple 2 : Autoriser les connexions uniquement via les points de terminaison d'interface en utilisant `aws:sourceVpce`**

La politique suivante n’autorise les connexions qu’à celles effectuées via les points de terminaison d’interface spécifiés par la clé de condition `aws:sourceVpce`. Par exemple, le point de terminaison de la première interface pourrait autoriser l'accès via la console SageMaker AI. Le deuxième point de terminaison de l'interface pourrait autoriser l'accès via l' SageMaker API.

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-mlflow-example-2",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}
```

------

**Exemple 3 : Autoriser les connexions à partir d’adresses IP en utilisant `aws:SourceIp`**

La politique suivante autorise les connexions uniquement à partir de la plage d’adresses IP spécifiée à l’aide de la clé de condition `aws:SourceIp`.

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-mlflow-example-3",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            }
        }
    ]
}
```

------

**Exemple 4 : Autoriser les connexions à partir d’adresses IP via un point de terminaison d’interface en utilisant `aws:VpcSourceIp`** 

Si vous accédez à l' SageMaker IA MLflow via un point de terminaison d'interface, vous pouvez utiliser la clé de `aws:VpcSourceIp` condition pour autoriser les connexions uniquement à partir de la plage d'adresses IP spécifiée au sein du sous-réseau dans lequel vous avez créé le point de terminaison d'interface, comme indiqué dans la politique suivante :

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-mlflow-example-4",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                },
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}
```

------