Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Connessione a un server MLflow di tracciamento tramite un endpoint VPC di interfaccia
Il server di MLflow tracciamento viene eseguito in un Amazon Virtual Private Cloud gestito da Amazon SageMaker AI. Puoi connetterti a un server di MLflow tracciamento da un endpoint nel tuo VPC. Le tue richieste al server di tracciamento non sono esposte alla rete Internet pubblica. Per ulteriori informazioni sulla connessione del VPC all' SageMaker AI, consulta. [Connettiti all' SageMaker IA all'interno del tuo VPC](interface-vpc-endpoint.md)
**Topics**
+ [Creare un endpoint VPC](mlflow-interface-endpoint-create.md)
+ [Crea una policy sugli endpoint VPC per l'IA SageMaker MLflow](mlflow-private-link-policy.md)
+ [Autorizzazione dell’accesso solo dall’interno del tuo VPC](mlflow-private-link-restrict.md)
# Creare un endpoint VPC
Puoi creare un endpoint di interfaccia per connetterti all' SageMaker IA. MLflow Per le istruzioni, consulta [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Assicurati di creare endpoint di interfaccia per tutte le sottoreti del tuo VPC da cui desideri connetterti all'IA. SageMaker MLflow
Quando crei un endpoint di interfaccia, assicurati che i gruppi di sicurezza sull’endpoint consentano l’accesso in entrata e in uscita per il traffico HTTPS. Per ulteriori informazioni, consulta [Controllo dell'accesso ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).
**Nota**
Oltre a creare un endpoint di interfaccia per connettersi all' SageMaker intelligenza artificiale MLflow, crea un endpoint di interfaccia per connettersi all'API Amazon SageMaker . Quando gli utenti chiamano [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html)per ottenere l'URL per connettersi all' SageMaker IA MLflow, quella chiamata passa attraverso l'endpoint di interfaccia utilizzato per connettersi all'API. SageMaker
Quando crei l'endpoint di interfaccia, specifica **aws.sagemaker.*Regione AWS*.experiments** come nome del servizio. Dopo aver creato un endpoint di interfaccia, abilita il DNS privato per il tuo endpoint. Quando ti connetti all' SageMaker intelligenza artificiale MLflow dall'interno del VPC utilizzando SageMaker Python SDK, ti connetti tramite l'endpoint dell'interfaccia anziché la rete Internet pubblica.
All'interno di Console di gestione AWS, puoi utilizzare la seguente procedura per creare un endpoint.
**Come creare un endpoint**
1. Accedi alla [console di Amazon Virtual Private Cloud](https://console.aws.amazon.com/vpcconsole).
1. Passa a **Endpoint**.
1. Seleziona **Crea endpoint**.
1. (Facoltativo) In **Nome (tag)**, specifica un nome per l’endpoint.
1. Nella barra di ricerca, sotto **Servizi**, specifica **Esperimenti**.
1. Seleziona l’endpoint che stai creando.
1. In **VPC**, specifica il nome del VPC.
1. Seleziona **Crea endpoint**.
# Crea una policy sugli endpoint VPC per l'IA SageMaker MLflow
Puoi allegare una policy degli endpoint Amazon VPC agli endpoint VPC di interfaccia che usi per connetterti all'AI. SageMaker MLflow La policy degli endpoint controlla l'accesso a. MLflow È possibile specificare quanto segue:
+ Il principale che può eseguire azioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire azioni.
Per ulteriori informazioni, consulta [Controllo dell'accesso ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).
Il seguente esempio di policy per gli endpoint VPC specifica che tutti gli utenti che hanno accesso all'endpoint possono accedere al server di MLflow tracciamento specificato. L’accesso ad altri server di tracciamento viene rifiutato.
```
{
"Statement": [
{
"Action": "sagemaker-mlflow:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "arn:aws:sagemaker:Regione AWS:111122223333:mlflow-tracking-server/*"
}
]
}
```
# Autorizzazione dell’accesso solo dall’interno del tuo VPC
Gli utenti esterni al tuo VPC possono connettersi all' SageMaker IA MLflow o tramite Internet anche se configuri un endpoint di interfaccia nel tuo VPC.
Per consentire l'accesso solo alle connessioni effettuate dall'interno del tuo VPC, crea una policy AWS Identity and Access Management (IAM) in tal senso. Aggiungi questa policy a ogni utente, gruppo o ruolo utilizzato per accedere all'IA. SageMaker MLflow Questa funzionalità è supportata solo con l’autenticazione in modalità IAM, non in modalità Centro identità IAM. I seguenti esempi illustrano come creare tali policy.
**Importante**
Se applichi una policy IAM simile a uno dei seguenti esempi, gli utenti non possono accedere all' SageMaker IA MLflow tramite quanto specificato SageMaker APIs tramite la console SageMaker AI. Per accedere all' SageMaker IA MLflow, gli utenti devono utilizzare un URL predefinito o SageMaker APIs chiamarlo direttamente.
**Esempio 1: consenti le connessioni solo all'interno della sottorete di un endpoint di interfaccia**
La seguente policy consente connessioni solo ai chiamanti all'interno di una sottorete in cui è stato creato un endpoint di interfaccia.
------
#### [ JSON ]
****
```
{
"Id": "mlflow-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-111bbaaa"
}
}
}
]
}
```
------
**Esempio 2: consenti le connessioni solo tramite gli endpoint di interfaccia utilizzando `aws:sourceVpce`**
La seguente policy consente le connessioni solo a quelle effettuate tramite gli endpoint di interfaccia specificati dalla chiave di condizione `aws:sourceVpce`. Ad esempio, il primo endpoint di interfaccia potrebbe consentire l'accesso tramite la console SageMaker AI. Il secondo endpoint di interfaccia potrebbe consentire l'accesso tramite l' SageMaker API.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
**Esempio 3: consenti connessioni da indirizzi IP utilizzando `aws:SourceIp` **
La seguente policy consente le connessioni solo dall'intervallo specificato di indirizzi IP utilizzando la chiave di condizione `aws:SourceIp`.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
**Esempio 4: consenti le connessioni da indirizzi IP tramite un endpoint di interfaccia utilizzando `aws:VpcSourceIp`**
Se accedi all' SageMaker IA MLflow tramite un endpoint di interfaccia, puoi utilizzare la chiave `aws:VpcSourceIp` condition per consentire le connessioni solo dall'intervallo specificato di indirizzi IP all'interno della sottorete in cui è stato creato l'endpoint di interfaccia, come mostrato nella seguente politica:
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-4",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------