기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# VPC 내에서만 액세스 허용
<a name="mlflow-private-link-restrict"></a>

VPC에 인터페이스 엔드포인트를 설정한 경우에도 VPC 외부의 사용자는 인터넷을 통해 SageMaker AI MLflow에 연결할 수 있습니다.

VPC 내에서 이루어진 연결에만 액세스를 허용하려면 AWS Identity and Access Management (IAM) 정책을 생성해야 합니다. 그런 다음 SageMaker AI MLflow에 액세스하는 데 사용되는 모든 사용자, 그룹 또는 역할에 해당 정책을 추가합니다. 이 기능은 인증을 위해 IAM 모드를 사용할 때만 지원되며 IAM Identity Center 모드에서는 지원되지 않습니다. 다음 예에서는 이러한 정책을 생성하는 방법을 보여줍니다.

**중요**  
다음 중 하나와 유사한 IAM 정책을 적용하면 사용자가 SageMaker AI 콘솔을 통해 지정된 SageMaker API를 사용하여 SageMaker AI MLflow에 액세스할 수 없습니다. SageMaker AI MLflow에 액세스하려면 사용자는 미리 서명된 URL을 사용하거나 SageMaker API를 직접적으로 호출해야 합니다.

**예 1: 인터페이스 엔드포인트의 서브넷 내에서만 연결 허용**

이 정책으로는 인터페이스 엔드포인트를 생성한 서브넷의 호출자에만 연결할 수 있습니다.

------
#### [ JSON ]

****  

```
{
    "Id": "mlflow-example-1",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-111bbaaa"
                }
            }
        }
    ]
}
```

------

**예 2: `aws:sourceVpce`를 사용하여 인터페이스 엔드포인트를 통한 연결만 허용**

다음 정책은 `aws:sourceVpce`조건 키로 지정된 인터페이스 엔드포인트를 통해 이루어진 연결만 허용합니다. 예를 들어 첫 번째 인터페이스 엔드포인트는 SageMaker AI 콘솔을 통한 액세스를 허용할 수 있습니다. 두 번째 인터페이스 엔드포인트는 SageMaker API를 통한 액세스를 허용할 수 있습니다.

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-mlflow-example-2",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}
```

------

**예 3: `aws:SourceIp`을 사용하여 IP 주소에서의 연결 허용 **

다음 정책은 `aws:SourceIp`조건 키를 사용하여 지정된 IP 주소 범위에서만 연결을 허용합니다.

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-mlflow-example-3",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            }
        }
    ]
}
```

------

**예 4: `aws:VpcSourceIp`를 사용하여 인터페이스 엔드포인트를 통한 IP 주소로부터의 연결 허용 ** 

인터페이스 엔드포인트를 통해 SageMaker AI MLflow에 액세스하는 경우 다음 정책에 표시된 대로 `aws:VpcSourceIp` 조건 키를 사용하여 인터페이스 엔드포인트를 만든 서브넷 내의 지정된 IP 주소 범위에서만 연결을 허용할 수 있습니다.

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-mlflow-example-4",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                },
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}
```

------