As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Conectando-se a um servidor MLflow de rastreamento por meio de uma interface VPC Endpoint
O servidor MLflow de rastreamento é executado em uma Amazon Virtual Private Cloud gerenciada pela Amazon SageMaker AI. Você pode se conectar a um servidor MLflow de rastreamento a partir de um endpoint em sua própria VPC. Suas solicitações ao servidor de rastreamento não são expostas à internet pública. Para obter mais informações sobre como conectar sua VPC à SageMaker IA, consulte. [Conecte-se à SageMaker IA em sua VPC](interface-vpc-endpoint.md)
**Topics**
+ [Criar um endpoint de VPC](mlflow-interface-endpoint-create.md)
+ [Crie uma política de VPC Endpoint para IA SageMaker MLflow](mlflow-private-link-policy.md)
+ [Permitir o acesso somente de dentro da sua VPC](mlflow-private-link-restrict.md)
# Criar um endpoint de VPC
Você pode criar um endpoint de interface para se conectar à SageMaker IA MLflow. Para obter instruções, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Certifique-se de criar endpoints de interface para todas as sub-redes em sua VPC a partir das quais você deseja se conectar à IA. SageMaker MLflow
Ao criar um endpoint de interface, certifique-se de que os grupos de segurança em seu endpoint permitam acesso de entrada e saída para tráfego HTTPS. Para obter mais informações, consulte [Controlar o acesso aos serviços com endpoints de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).
**nota**
Além de criar um endpoint de interface para se conectar à SageMaker IA MLflow, crie um endpoint de interface para se conectar à API da Amazon SageMaker . Quando os usuários ligam [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html)para obter a URL para se conectar à SageMaker IA MLflow, essa chamada passa pelo endpoint da interface usado para se conectar à SageMaker API.
Ao criar o endpoint de interface, especifique **aws.sagemaker.*Região da AWS*.experiments** como o nome do serviço. Depois de criar um endpoint de interface, habilite o DNS privado para seu endpoint. Quando você se conecta à SageMaker IA MLflow de dentro da VPC usando o SDK do SageMaker Python, você se conecta por meio do endpoint da interface em vez da Internet pública.
Dentro do Console de gerenciamento da AWS, você pode usar o procedimento a seguir para criar um endpoint.
**Para criar um endpoint**
1. Navegue até o [console da nuvem privada virtual da Amazon](https://console.aws.amazon.com/vpcconsole).
1. Navegue até **Endpoints**.
1. Escolha **Criar endpoint**.
1. (Opcional) Em **Nome (tag)**, especifique um nome para o endpoint.
1. Na barra de pesquisa em **Serviços**, especifique **experimentos**.
1. Selecione o endpoint que você está criando.
1. Para **VPC**, especifique o nome da VPC.
1. Escolha **Criar endpoint**.
# Crie uma política de VPC Endpoint para IA SageMaker MLflow
Você pode anexar uma política de endpoint da Amazon VPC aos endpoints de VPC da interface que você usa para se conectar à IA. SageMaker MLflow A política de endpoint controla o acesso a. MLflow É possível especificar o seguinte:
+ A entidade principal que pode realizar ações.
+ As ações que podem ser realizadas.
+ Os recursos aos quais as ações podem ser aplicadas.
Para obter mais informações, consulte [Controlar acesso a serviços com endpoints de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).
O exemplo a seguir de uma política de VPC endpoint especifica que todos os usuários que têm acesso ao endpoint têm permissão para acessar o servidor de MLflow rastreamento especificado por você. O acesso a outros servidores de rastreamento é negado.
```
{
"Statement": [
{
"Action": "sagemaker-mlflow:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "arn:aws:sagemaker:Região da AWS:111122223333:mlflow-tracking-server/*"
}
]
}
```
# Permitir o acesso somente de dentro da sua VPC
Usuários fora da sua VPC podem se conectar à SageMaker IA MLflow ou pela Internet, mesmo que você configure um endpoint de interface na sua VPC.
Para permitir o acesso somente às conexões feitas de dentro da sua VPC, crie uma política do (IAM) AWS Identity and Access Management para esse efeito. Adicione essa política a cada usuário, grupo ou função usada para acessar a SageMaker IA MLflow. Esse atributo só é compatível com o modo do IAM para autenticação, e não com o modo do Centro de Identidade do IAM. Os exemplos a seguir demonstram como criar essas políticas.
**Importante**
Se você aplicar uma política de IAM semelhante a um dos exemplos a seguir, os usuários não poderão acessar a SageMaker IA MLflow por meio do especificado SageMaker APIs por meio do console de SageMaker IA. Para acessar a SageMaker IA MLflow, os usuários devem usar uma URL pré-assinada ou ligar SageMaker APIs diretamente para ela.
**Exemplo 1: permitir conexões somente dentro da sub-rede de um endpoint de interface**
A política a seguir permite conexões somente para chamadores em uma sub-rede na qual você criou um endpoint de interface.
------
#### [ JSON ]
****
```
{
"Id": "mlflow-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-111bbaaa"
}
}
}
]
}
```
------
**Exemplo 2: permitir conexões somente por meio de endpoints de interface usando `aws:sourceVpce`**
A política a seguir permite conexões somente com aquelas feitas por meio dos endpoints de interface especificados pela chave de condição `aws:sourceVpce`. Por exemplo, o primeiro endpoint da interface pode permitir o acesso por meio do console de SageMaker IA. O segundo endpoint da interface pode permitir o acesso por meio da SageMaker API.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
**Exemplo 3: permitir conexões de endereços IP usando `aws:SourceIp`**
A política a seguir permite conexões somente do intervalo especificado de endereços IP usando a chave de condição `aws:SourceIp`.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
**Exemplo 4: permitir conexões de endereços IP por meio de um endpoint de interface usando `aws:VpcSourceIp`**
Se você estiver acessando a SageMaker IA MLflow por meio de um endpoint de interface, poderá usar a chave de `aws:VpcSourceIp` condição para permitir conexões somente do intervalo especificado de endereços IP na sub-rede em que você criou o endpoint da interface, conforme mostrado na política a seguir:
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-4",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------