As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Permitir o acesso somente de dentro da sua VPC Usuários fora da sua VPC podem se conectar à SageMaker IA MLflow ou pela Internet, mesmo que você configure um endpoint de interface na sua VPC. Para permitir o acesso somente às conexões feitas de dentro da sua VPC, crie uma política do (IAM) AWS Identity and Access Management para esse efeito. Adicione essa política a cada usuário, grupo ou função usada para acessar a SageMaker IA MLflow. Esse atributo só é compatível com o modo do IAM para autenticação, e não com o modo do Centro de Identidade do IAM. Os exemplos a seguir demonstram como criar essas políticas. **Importante** Se você aplicar uma política de IAM semelhante a um dos exemplos a seguir, os usuários não poderão acessar a SageMaker IA MLflow por meio do especificado SageMaker APIs por meio do console de SageMaker IA. Para acessar a SageMaker IA MLflow, os usuários devem usar uma URL pré-assinada ou ligar SageMaker APIs diretamente para ela. **Exemplo 1: permitir conexões somente dentro da sub-rede de um endpoint de interface** A política a seguir permite conexões somente para chamadores em uma sub-rede na qual você criou um endpoint de interface. ------ #### [ JSON ] **** ``` { "Id": "mlflow-example-1", "Version":"2012-10-17", "Statement": [ { "Sid": "MlflowAccess", "Effect": "Allow", "Action": [ "sagemaker-mlflow:*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpce": "vpce-111bbaaa" } } } ] } ``` ------ **Exemplo 2: permitir conexões somente por meio de endpoints de interface usando `aws:sourceVpce`** A política a seguir permite conexões somente com aquelas feitas por meio dos endpoints de interface especificados pela chave de condição `aws:sourceVpce`. Por exemplo, o primeiro endpoint da interface pode permitir o acesso por meio do console de SageMaker IA. O segundo endpoint da interface pode permitir o acesso por meio da SageMaker API. ------ #### [ JSON ] **** ``` { "Id": "sagemaker-mlflow-example-2", "Version":"2012-10-17", "Statement": [ { "Sid": "MlflowAccess", "Effect": "Allow", "Action": [ "sagemaker-mlflow:*" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": [ "vpce-111bbccc", "vpce-111bbddd" ] } } } ] } ``` ------ **Exemplo 3: permitir conexões de endereços IP usando `aws:SourceIp`** A política a seguir permite conexões somente do intervalo especificado de endereços IP usando a chave de condição `aws:SourceIp`. ------ #### [ JSON ] **** ``` { "Id": "sagemaker-mlflow-example-3", "Version":"2012-10-17", "Statement": [ { "Sid": "MlflowAccess", "Effect": "Allow", "Action": [ "sagemaker-mlflow:*" ], "Resource": "*", "Condition": { "IpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "203.0.113.0/24" ] } } } ] } ``` ------ **Exemplo 4: permitir conexões de endereços IP por meio de um endpoint de interface usando `aws:VpcSourceIp`** Se você estiver acessando a SageMaker IA MLflow por meio de um endpoint de interface, poderá usar a chave de `aws:VpcSourceIp` condição para permitir conexões somente do intervalo especificado de endereços IP na sub-rede em que você criou o endpoint da interface, conforme mostrado na política a seguir: ------ #### [ JSON ] **** ``` { "Id": "sagemaker-mlflow-example-4", "Version":"2012-10-17", "Statement": [ { "Sid": "MlflowAccess", "Effect": "Allow", "Action": [ "sagemaker-mlflow:*" ], "Resource": "*", "Condition": { "IpAddress": { "aws:VpcSourceIp": [ "192.0.2.0/24", "203.0.113.0/24" ] }, "StringEquals": { "aws:SourceVpc": "vpc-111bbaaa" } } } ] } ``` ------