本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 透過介面 VPC 端點連線至 MLflow 追蹤伺服器
<a name="mlflow-interface-endpoint"></a>

MLflow 追蹤伺服器會在 Amazon SageMaker AI 管理的 Amazon Virtual Private Cloud 中執行。您可以從自己的 VPC 中的端點連線至 MLflow 追蹤伺服器。您對追蹤伺服器的請求不會公開至公有網際網路。如需將您的 VPC 連線至 SageMaker AI 的詳細資訊，請參閱[在您的 VPC 中連線到 SageMaker AI](interface-vpc-endpoint.md)。

**Topics**
+ [建立 VPC 端點](mlflow-interface-endpoint-create.md)
+ [為 SageMaker AI MLflow 建立 VPC 端點政策](mlflow-private-link-policy.md)
+ [僅允許從您的 VPC 內存取](mlflow-private-link-restrict.md)

# 建立 VPC 端點
<a name="mlflow-interface-endpoint-create"></a>

您可以建立介面端點以連線至 SageMaker AI MLflow。如需指示，請參閱[建立介面端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。確定您為 VPC 中的所有子網路建立介面端點，您想要從些子網路連線至 SageMaker AI MLflow。

建立介面端點時，請確保端點上的安全群組允許 HTTPS 流量的傳入和傳出存取。如需詳細資訊，請參閱[使用 VPC 端點控制服務的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups)。

**注意**  
除了建立介面端點來連線到 SageMaker AI MLflow 之外，還會建立介面端點以連線到 Amazon SageMaker API。當使用者呼叫 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html) 來取得 URL 連線至 SageMaker AI MLflow 時，該呼叫會經過用來連線至 SageMaker API 的介面端點。

當您建立介面端點時，請指定 **aws.sagemaker.*AWS 區域*.experiments** 為服務名稱。在您建立介面端點後，請為您的端點啟用私有 DNS。當您使用 SageMaker Python SDK 從 VPC 內連線至 SageMaker AI MLflow 時，您會透過介面端點而非公用網際網路進行連線。

在 中 AWS 管理主控台，您可以使用下列程序來建立端點。

**建立端點**

1. 導覽至 [Amazon Virtual Private Cloud 主控台](https://console.aws.amazon.com/vpcconsole)。

1. 導覽至**端點**。

1. 選擇**建立端點**。

1. (選用) 針對**名稱 (標籤)**，指定端點的名稱。

1. 在**服務**下的搜尋列中，指定**實驗**。

1. 選取您要建立的端點。

1. 對於 **VPC**，指定 VPC 的名稱。

1. 選擇**建立端點**。

# 為 SageMaker AI MLflow 建立 VPC 端點政策
<a name="mlflow-private-link-policy"></a>

您可以將 Amazon VPC 端點政策連接到您用來連線到 SageMaker AI MLflow 的介面 VPC 端點。端點政策會控制對 MLflow 的存取。您可以指定下列項目：
+ 可執行動作的主體。
+ 可執行的動作。
+ 可供執行動作的資源。

如需詳細資訊，請參閱[使用 VPC 端點控制服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。

以下 VPC 端點政策範例指定所有可以存取端點的使用者，被允許存取您指定的 MLflow 追蹤伺服器。存取其他追蹤伺服器遭拒。

```
{
    "Statement": [
        {
            "Action": "sagemaker-mlflow:*",
            "Effect": "Allow",
            "Principal": "*",
            "Resource": "arn:aws:sagemaker:AWS 區域:111122223333:mlflow-tracking-server/*"
        }
    ]
}
```

# 僅允許從您的 VPC 內存取
<a name="mlflow-private-link-restrict"></a>

即使您在 VPC 中設定介面端點，VPC 外部的使用者也可以透過網際網路連線至 SageMaker AI MLflow。

若要僅允許從您的 VPC 內建立的連線存取，請建立 AWS Identity and Access Management (IAM) 政策。將該政策新增至用來存取 SageMaker AI MLflow 的每個使用者、群組或角色。僅在使用 IAM 模式進行驗證時才支援此特徵，而在 IAM Identity Center 模式中不支援。下列範例示範如何建立此類政策。

**重要**  
如果您套用類似下列其中一個範例的 IAM 政策，則使用者無法透過指定的 SageMaker API 或透過 SageMaker AI 主控台存取 SageMaker AI MLflow。若要存取 SageMaker AI MLflow，使用者必須使用預先簽署的 URL 或直接呼叫 SageMaker API。

**範例 1：僅允許介面端點子網路內的連線**

下列政策僅允許向建立介面端點之子網路中的呼叫者建立連線。

------
#### [ JSON ]

****  

```
{
    "Id": "mlflow-example-1",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-111bbaaa"
                }
            }
        }
    ]
}
```

------

**範例 2：僅允許透過介面端點使用 `aws:sourceVpce` 的連線**

下列策略僅允許連線至透過 `aws:sourceVpce` 條件金鑰指定的介面端點建立的連線。例如，第一個介面端點可以允許透過 SageMaker AI 主控台進行存取。第二個介面端點可允許透過 SageMaker API 進行存取。

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-mlflow-example-2",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}
```

------

**範例 3：允許來自使用 `aws:SourceIp` IP 地址的連線**

下列政策只允許使用 `aws:SourceIp` 條件金鑰來自指定 IP 地址範圍的連線。

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-mlflow-example-3",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            }
        }
    ]
}
```

------

**範例 4：允許透過使用介面端點從 IP 地址進行連線 `aws:VpcSourceIp`** 

如果您透過介面端點存取 SageMaker AI MLflow，則您可以使用 `aws:VpcSourceIp` 條件金鑰，僅允許從子網路內指定的 IP 位址範圍進行連線，而您已在該子網路中建立介面端點，如下列政策所示：

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-mlflow-example-4",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                },
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}
```

------