View a markdown version of this page

僅允許從您的 VPC 內存取 - Amazon SageMaker AI

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

僅允許從您的 VPC 內存取

即使您在 VPC 中設定介面端點,VPC 外部的使用者也可以透過網際網路連線至 SageMaker AI MLflow。

若要僅允許從您的 VPC 內建立的連線存取,請建立 AWS Identity and Access Management (IAM) 政策。將該政策新增至用來存取 SageMaker AI MLflow 的每個使用者、群組或角色。僅在使用 IAM 模式進行驗證時才支援此特徵,而在 IAM Identity Center 模式中不支援。下列範例示範如何建立此類政策。

重要

如果您套用類似下列其中一個範例的 IAM 政策,則使用者無法透過指定的 SageMaker API 或透過 SageMaker AI 主控台存取 SageMaker AI MLflow。若要存取 SageMaker AI MLflow,使用者必須使用預先簽署的 URL 或直接呼叫 SageMaker API。

範例 1:僅允許介面端點子網路內的連線

下列政策僅允許向建立介面端點之子網路中的呼叫者建立連線。

JSON
{
    "Id": "mlflow-example-1",
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-111bbaaa"
                }
            }
        }
    ]
}

範例 2:僅允許透過介面端點使用 aws:sourceVpce 的連線

下列策略僅允許連線至透過 aws:sourceVpce 條件金鑰指定的介面端點建立的連線。例如,第一個介面端點可以允許透過 SageMaker AI 主控台進行存取。第二個介面端點可允許透過 SageMaker API 進行存取。

JSON
{
    "Id": "sagemaker-mlflow-example-2",
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}

範例 3:允許來自使用 aws:SourceIp IP 地址的連線

下列政策只允許使用 aws:SourceIp 條件金鑰來自指定 IP 地址範圍的連線。

JSON
{
    "Id": "sagemaker-mlflow-example-3",
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            }
        }
    ]
}

範例 4:允許透過使用介面端點從 IP 地址進行連線 aws:VpcSourceIp

如果您透過介面端點存取 SageMaker AI MLflow,則您可以使用 aws:VpcSourceIp 條件金鑰,僅允許從子網路內指定的 IP 位址範圍進行連線,而您已在該子網路中建立介面端點,如下列政策所示:

JSON
{
    "Id": "sagemaker-mlflow-example-4",
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                },
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}