View a markdown version of this page

Permitir o acesso somente de dentro da sua VPC - SageMaker Inteligência Artificial da Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permitir o acesso somente de dentro da sua VPC

Usuários fora da sua VPC podem se conectar ao SageMaker AI MLflow ou pela Internet, mesmo que você configure um endpoint de interface na sua VPC.

Para permitir o acesso somente às conexões feitas de dentro da sua VPC, crie uma política do (IAM) AWS Identity and Access Management para esse efeito. Adicione essa política a cada usuário, grupo ou função usada para acessar o SageMaker AI MLflow. Esse atributo só é compatível com o modo do IAM para autenticação, e não com o modo do Centro de Identidade do IAM. Os exemplos a seguir demonstram como criar essas políticas.

Importante

Se você aplicar uma política do IAM semelhante a um dos exemplos a seguir, os usuários não poderão acessar o SageMaker AI MLFlow por meio das SageMaker APIs especificadas por meio do console do SageMaker AI. Para acessar o SageMaker AI MLflow, os usuários devem usar uma URL pré-assinada ou chamar as SageMaker APIs diretamente.

Exemplo 1: permitir conexões somente dentro da sub-rede de um endpoint de interface

A política a seguir permite conexões somente para chamadores em uma sub-rede na qual você criou um endpoint de interface.

JSON
{
    "Id": "mlflow-example-1",
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-111bbaaa"
                }
            }
        }
    ]
}

Exemplo 2: permitir conexões somente por meio de endpoints de interface usando aws:sourceVpce

A política a seguir permite conexões somente com aquelas feitas por meio dos endpoints de interface especificados pela chave de condição aws:sourceVpce. Por exemplo, o primeiro endpoint da interface pode permitir o acesso por meio do console de SageMaker IA. O segundo endpoint da interface pode permitir o acesso por meio da SageMaker API.

JSON
{
    "Id": "sagemaker-mlflow-example-2",
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}

Exemplo 3: permitir conexões de endereços IP usando aws:SourceIp

A política a seguir permite conexões somente do intervalo especificado de endereços IP usando a chave de condição aws:SourceIp.

JSON
{
    "Id": "sagemaker-mlflow-example-3",
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            }
        }
    ]
}

Exemplo 4: permitir conexões de endereços IP por meio de um endpoint de interface usando aws:VpcSourceIp

Se você estiver acessando o SageMaker AI MLflow por meio de um endpoint de interface, poderá usar a chave de aws:VpcSourceIp condição para permitir conexões somente do intervalo especificado de endereços IP na sub-rede em que você criou o endpoint da interface, conforme mostrado na política a seguir:

JSON
{
    "Id": "sagemaker-mlflow-example-4",
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                },
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}