Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menghubungkan ke server MLflow pelacakan melalui Endpoint VPC Antarmuka
Server MLflow pelacakan berjalan di Amazon Virtual Private Cloud yang dikelola oleh Amazon SageMaker AI. Anda dapat terhubung ke server MLflow pelacak dari titik akhir di VPC Anda sendiri. Permintaan Anda ke server pelacak tidak terpapar ke internet publik. Untuk informasi selengkapnya tentang menghubungkan VPC Anda ke SageMaker AI, lihat. [Connect ke SageMaker AI Dalam VPC Anda](interface-vpc-endpoint.md)
**Topics**
+ [Buat Endpoint VPC](mlflow-interface-endpoint-create.md)
+ [Membuat Kebijakan Titik Akhir VPC untuk AI SageMaker MLflow](mlflow-private-link-policy.md)
+ [Izinkan Akses hanya dari dalam VPC Anda](mlflow-private-link-restrict.md)
# Buat Endpoint VPC
Anda dapat membuat titik akhir antarmuka untuk terhubung ke SageMaker AI MLflow. Untuk instruksi, lihat [Membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Pastikan Anda membuat titik akhir antarmuka untuk semua subnet di VPC yang ingin Anda sambungkan ke AI. SageMaker MLflow
Saat Anda membuat titik akhir antarmuka, pastikan bahwa grup keamanan di titik akhir Anda mengizinkan akses masuk dan keluar untuk lalu lintas HTTPS. Untuk informasi selengkapnya, lihat [Mengontrol akses ke layanan dengan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).
**catatan**
Selain membuat titik akhir antarmuka untuk terhubung ke SageMaker AI MLflow, buat titik akhir antarmuka untuk terhubung ke Amazon SageMaker API. Ketika pengguna memanggil [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html)untuk mendapatkan URL untuk terhubung ke SageMaker AI MLflow, panggilan itu melewati titik akhir antarmuka yang digunakan untuk terhubung ke SageMaker API.
Saat Anda membuat titik akhir antarmuka, tentukan **aws.sagemaker.*Wilayah AWS*.experiments** sebagai nama layanan. Setelah Anda membuat titik akhir antarmuka, aktifkan DNS pribadi untuk titik akhir Anda. Saat Anda terhubung ke SageMaker AI MLflow dari dalam VPC menggunakan SageMaker Python SDK, Anda terhubung melalui titik akhir antarmuka alih-alih internet publik.
Di dalamnya Konsol Manajemen AWS, Anda dapat menggunakan prosedur berikut untuk membuat titik akhir.
**Untuk membuat titik akhir**
1. Arahkan ke [konsol Amazon Virtual Private Cloud](https://console.aws.amazon.com/vpcconsole).
1. Arahkan ke **Endpoint**.
1. Pilih **Buat titik akhir**.
1. (Opsional) Untuk **Nama (tag)**, tentukan nama untuk titik akhir.
1. Di bilah pencarian di bawah **Layanan**, tentukan **eksperimen**.
1. Pilih endponit yang Anda buat.
1. Untuk **VPC**, tentukan nama VPC.
1. Pilih **Buat titik akhir**.
# Membuat Kebijakan Titik Akhir VPC untuk AI SageMaker MLflow
Anda dapat melampirkan kebijakan titik akhir VPC Amazon ke titik akhir VPC antarmuka yang Anda gunakan untuk terhubung ke AI. SageMaker MLflow Kebijakan endpoint mengontrol akses ke MLflow. Anda dapat menentukan sebagai berikut:
+ Prinsipal yang dapat melakukan tindakan.
+ Tindakan yang dapat dilakukan.
+ Sumber daya yang menjadi target tindakan.
Untuk informasi selengkapnya, lihat [Mengendalikan akses ke layanan dengan VPC endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).
Contoh kebijakan titik akhir VPC berikut ini menetapkan bahwa semua pengguna yang memiliki akses ke titik akhir diizinkan mengakses server MLflow pelacakan yang Anda tentukan. Akses ke server pelacak lainnya ditolak.
```
{
"Statement": [
{
"Action": "sagemaker-mlflow:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "arn:aws:sagemaker:Wilayah AWS:111122223333:mlflow-tracking-server/*"
}
]
}
```
# Izinkan Akses hanya dari dalam VPC Anda
Pengguna di luar VPC Anda dapat terhubung ke SageMaker AI MLflow atau melalui internet bahkan jika Anda mengatur titik akhir antarmuka di VPC Anda.
Untuk mengizinkan akses hanya ke koneksi yang dibuat dari dalam VPC Anda, buat kebijakan AWS Identity and Access Management (IAM) untuk efek itu. Tambahkan kebijakan itu ke setiap pengguna, grup, atau peran yang digunakan untuk mengakses SageMaker AI MLflow. Fitur ini hanya didukung saat menggunakan mode IAM untuk otentikasi, dan tidak didukung dalam mode Pusat Identitas IAM. Contoh berikut menunjukkan cara membuat kebijakan tersebut.
**penting**
Jika Anda menerapkan kebijakan IAM yang mirip dengan salah satu contoh berikut, pengguna tidak dapat mengakses SageMaker AI MLflow melalui yang ditentukan SageMaker APIs melalui konsol SageMaker AI. Untuk mengakses SageMaker AI MLflow, pengguna harus menggunakan URL yang telah ditentukan sebelumnya atau menelepon SageMaker APIs langsung.
**Contoh 1: Izinkan koneksi hanya dalam subnet dari titik akhir antarmuka**
Kebijakan berikut hanya mengizinkan koneksi ke penelepon dalam subnet tempat Anda membuat titik akhir antarmuka.
------
#### [ JSON ]
****
```
{
"Id": "mlflow-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-111bbaaa"
}
}
}
]
}
```
------
**Contoh 2: Izinkan koneksi hanya melalui titik akhir antarmuka menggunakan `aws:sourceVpce`**
Kebijakan berikut hanya mengizinkan koneksi ke koneksi yang dibuat melalui titik akhir antarmuka yang ditentukan oleh kunci `aws:sourceVpce` kondisi. Misalnya, titik akhir antarmuka pertama dapat memungkinkan akses melalui konsol SageMaker AI. Titik akhir antarmuka kedua dapat memungkinkan akses melalui SageMaker API.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
**Contoh 3: Izinkan koneksi dari alamat IP menggunakan `aws:SourceIp`**
Kebijakan berikut mengizinkan koneksi hanya dari rentang alamat IP yang ditentukan menggunakan kunci `aws:SourceIp` kondisi.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
**Contoh 4: Izinkan koneksi dari alamat IP melalui titik akhir antarmuka menggunakan `aws:VpcSourceIp`**
Jika Anda mengakses SageMaker AI MLflow melalui titik akhir antarmuka, Anda dapat menggunakan tombol `aws:VpcSourceIp` kondisi untuk mengizinkan koneksi hanya dari rentang alamat IP yang ditentukan dalam subnet tempat Anda membuat titik akhir antarmuka seperti yang ditunjukkan dalam kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-4",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------