翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# インターフェイス VPC エンドポイントを介した MLflow Tracking Server への接続
MLflow Tracking Server は、Amazon SageMaker AI が管理する Amazon Virtual Private Cloud で実行されます。独自の VPC 内のエンドポイントから MLflow Tracking Server に接続できます。Tracking Server へのリクエストは、パブリックインターネットには公開されません。VPC を SageMaker AI に接続する方法の詳細については、「[VPC 内で SageMaker AI に接続する](interface-vpc-endpoint.md)」を参照してください。
**Topics**
+ [VPC エンドポイントの作成](mlflow-interface-endpoint-create.md)
+ [SageMaker AI MLflow の VPC エンドポイントポリシーを作成する](mlflow-private-link-policy.md)
+ [VPC 内からのみアクセスを許可する](mlflow-private-link-restrict.md)
# VPC エンドポイントの作成
SageMaker AI MLflow に接続するには、インターフェイスエンドポイントを作成できます。手順については、「[インターフェイスエンドポイントの作成](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)」を参照してください。SageMaker AI MLflow に接続する VPC 内のすべてのサブネットに対してインターフェイスエンドポイントを作成する必要があります。
インターフェイスエンドポイントを作成する際は、エンドポイントのセキュリティグループが HTTPS トラフィックのインバウンドアクセスとアウトバウンドアクセスを許可していることを確認する必要があります。詳細については、「[VPC エンドポイントでサービスへのアクセスを制御する](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups)」を参照してください。
**注記**
SageMaker AI MLflow に接続するためのインターフェイスエンドポイントを作成する以外にも、Amazon SageMaker API に接続するためのインターフェイスエンドポイントを作成する必要があります。ユーザーが [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html) を呼び出して SageMaker AI MLflow に接続するための URL を取得する際、この呼び出しは SageMaker API への接続に使用されるインターフェイスエンドポイントを経由します。
インターフェイスエンドポイントを作成するときに、サービス名として **aws.sagemaker.*AWS リージョン*.experiments** を指定します。インターフェイスエンドポイントを作成したら、エンドポイントのプライベート DNS を有効にします。SageMaker Python SDK を使用して VPC 内から SageMaker AI MLflow に接続する場合は、パブリックインターネットではなくインターフェイスエンドポイントを介して接続します。
内で AWS マネジメントコンソール、次の手順を使用してエンドポイントを作成できます。
**エンドポイントを作成するには**
1. [[Amazon Virtual Private Cloud コンソール]](https://console.aws.amazon.com/vpcconsole) に移動します。
1. **[エンドポイント]** に移動します。
1. **エンドポイントの作成** を選択します。
1. (オプション) **[名前 (タグ)]** でエンドポイントの名前を指定します。
1. **[サービス]** の下の検索バーで、**[実験]** を指定します。
1. 作成するエンドポイントを選択します。
1. **[VPC]** では、VPC の名前を指定します。
1. **エンドポイントの作成** を選択します。
# SageMaker AI MLflow の VPC エンドポイントポリシーを作成する
SageMaker AI MLflow への接続に使うインターフェイス VPC エンドポイントには、Amazon VPC エンドポイントポリシーをアタッチできます。エンドポイントポリシーは、MLflow へのアクセスを制御します。以下を指定できます。
+ アクションを実行できるプリンシパル。
+ 実行可能なアクション。
+ アクションを実行できるリソース。
詳細については、「[VPC エンドポイントによるサービスのアクセスコントロール](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)」を参照してください。
次の VPC エンドポイントポリシーの例では、エンドポイントにアクセスできるすべてのユーザーが、指定した MLflow Tracking Server にアクセスできるように指定しています。他の Tracking Server へのアクセスは拒否されます。
```
{
"Statement": [
{
"Action": "sagemaker-mlflow:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "arn:aws:sagemaker:AWS リージョン:111122223333:mlflow-tracking-server/*"
}
]
}
```
# VPC 内からのみアクセスを許可する
VPC にインターフェイスエンドポイントを設定した場合でも、VPC 外部のユーザーはインターネットを介して SageMaker AI MLflow に接続できます。
VPC 内からの接続のみにアクセスを許可するには、そのような趣旨の AWS Identity and Access Management (IAM) ポリシーを作成します。このポリシーを SageMaker AI MLflow へのアクセスに使用されるすべてのユーザー、グループ、またはロールに追加します。この機能は、認証に IAM モードを使用する場合にのみサポートされ、IAM アイデンティティセンターモードではサポートされません。次の例は、そのようなポリシーの作成方法を示しています。
**重要**
次の例のいずれかに類似した IAM ポリシーを適用すると、ユーザーは SageMaker AI コンソールから指定された SageMaker API を介して SageMaker AI MLflow にアクセスできなくなります。SageMaker AI MLflow にアクセスするには、ユーザーは署名付き URL を使用するか、SageMaker API を直接呼び出す必要があります。
**例 1: インターフェイスエンドポイントのサブネット内でのみ接続を許可する**
以下のポリシーでは、インターフェイスエンドポイントを作成したサブネット内の発信者にのみ接続を許可します。
------
#### [ JSON ]
****
```
{
"Id": "mlflow-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-111bbaaa"
}
}
}
]
}
```
------
**例 2: `aws:sourceVpce` を使用してインターフェイスエンドポイントを介した接続のみを許可する**
以下のポリシーでは、`aws:sourceVpce` 条件キーで指定したインターフェイスエンドポイントを介して作成された接続のみを許可します。例えば、最初のインターフェイスエンドポイントは SageMaker AI コントロールパネルからのアクセスを許可します。2 番目のインターフェイスエンドポイントは SageMaker API を介したアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
**例 3: `aws:SourceIp` を使用した IP アドレスからの接続を許可する**
以下のポリシーでは、`aws:SourceIp` 条件キーを使用した、指定範囲の IP アドレスからの接続のみを許可します。
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
**例 4: `aws:VpcSourceIp` を使用してインターフェイスエンドポイント経由の IP アドレスからの接続を許可する**
インターフェイスエンドポイントを介して SageMaker AI MLflow にアクセスする場合は、以下のポリシーに示されるとおり、`aws:VpcSourceIp` 条件キーを使用することによって、インターフェイスエンドポイントを作成したサブネット内の指定された範囲の IP アドレスからの接続のみを許可することができます。
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-4",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------