本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为亚马逊 SageMaker 统一工作室 MCP 配置接口 VPC 终端节点
<a name="spark-troubleshooting-agent-vpc-endpoints"></a>

您可以通过创建接*口 VPC 终端节点在您的 VPC 和 Amazon SageMaker Unified Studio MCP 服务之间建立私有*连接。接口终端节点由 [Amazon VPC](https://aws.amazon.com/vpc/) 提供支持，这使您无需互联网网关、NAT 设备、VPN 连接或连接即可私密访问 VPC 中的 MCP 服务器。您的 VPC 中的实例不需要公有 IP 地址即可与 MCP 服务通信，并且您的 VPC 和 MCP 服务之间的流量不会离开亚马逊网络。

每个接口终端节点由您的 VPC 子网中的一个或多个[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)表示。有关更多信息，请参阅 *Amazon VPC 用户指南中的接口 VPC* [终端节点](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)。

## 第 1 步：为 Amazon SageMaker Unified Studio MCP 创建接口 VPC 终端节点
<a name="create-vpc-endpoint"></a>

您可以使用亚马逊 VPC 控制台或 Amazon SageMaker Unified Studio MCP 服务创建 VPC 终端节点。 AWS CLI有关更多信息，请参阅《Amazon VPC User Guide》**中的 [Creating an interface endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。

使用以下服务名称为 Amazon SageMaker Unified Studio MCP 创建 VPC 终端节点：
+ com.amazonaws。 *<aws-region>*。 sagemaker-unified-studio-mcp

如果您为终端节点启用私有 DNS，则可以使用该区域的默认 DNS 名称向 Amazon SageMaker Unified Studio MCP 发出 API 请求，例如，`sagemaker-unified-studio-mcp.us-east-1.api.aws`

有关更多信息，请参阅《Amazon VPC 用户指南》**中的[通过接口端点访问服务](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。

## 第 2 步：为 Amazon SageMaker Unified Studio MCP 创建 VPC 终端节点策略
<a name="create-vpc-endpoint-policy"></a>

您可以将终端节点策略附加到控制对 Amazon SageMaker Unified Studio MCP 的访问权限的 VPC 终端节点。该策略指定以下信息：
+ 可执行操作的主体。
+ 可执行的操作。
+ 可对其执行操作的资源。

有关更多信息，请参阅《Amazon VPC 用户指南》**中的[使用 VPC 端点控制对服务的访问](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。

### 示例：允许 MCP 访问特定 IAM 角色的 VPC 终端节点策略
<a name="vpc-endpoint-policy-example"></a>

以下是 Amazon SageMaker Unified Studio MCP 访问的终端节点策略示例。当关联到终端节点时，该策略允许特定 IAM 角色委托人访问所有资源上列出的 Amazon SageMaker Unified Studio MCP 操作。

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::ACCOUNT-ID:role/YourRoleName"
      },
      "Action": [
        "sagemaker-unified-studio-mcp:InvokeMcp",
        "sagemaker-unified-studio-mcp:CallReadOnlyTool",
        "sagemaker-unified-studio-mcp:CallPrivilegedTool"
      ],
      "Resource": "*"
    }
  ]
}
```

## 第 3 步：测试您的 VPC
<a name="test-vpc-endpoint"></a>

该`curl`命令通过发出 HTTP/HTTPS 请求来验证 end-to-end从您的 VPC 网络 (EC2) 到 VPC 终端节点的网络连接。收到来自 MCP 服务器的消息的 curl 响应确认完整的网络路径正常运行。

### 方法 1：启用私有 DNS（推荐）
<a name="test-private-dns-enabled"></a>

```
curl https://sagemaker-unified-studio-mcp.us-east-1.api.aws/spark-troubleshooting/mcp
```

### 方法 2：未启用私有 DNS
<a name="test-private-dns-disabled"></a>

```
curl -k https://vpce-0069xxxx-ejwhxxx.sagemaker-unified-studio-mcp.us-east-1.vpce.amazonaws.com/spark-troubleshooting/mcp
```

**注意**  
由于 VPC 终端节点 DNS 名称与证书的公用名 (CN) 之间的主机名不匹配，该`-k`标志绕过 SSL 证书验证。

在这两种情况下，curl 命令都会返回响应：`{"Message":"...."}`。返回消息将验证与 MCP 服务的 VPC 终端节点的网络路径连接是否成功。

## 步骤 4：开始使用 MCP VPC 终端节点
<a name="use-vpc-endpoint"></a>

验证连接后，您可以按照步骤在中配置 MCP。[故障排除代理的设置](spark-troubleshooting-agent-setup.md)只需在 MCP 配置中使用私有 VPC 终端节点即可。