本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 僅允許從您的 VPC 內存取
<a name="mlflow-private-link-restrict"></a>

即使您在 VPC 中設定介面端點，VPC 外部的使用者也可以透過網際網路連線至 SageMaker AI MLflow。

若要僅允許從您的 VPC 內建立的連線存取，請建立 AWS Identity and Access Management (IAM) 政策。將該政策新增至用來存取 SageMaker AI MLflow 的每個使用者、群組或角色。僅在使用 IAM 模式進行驗證時才支援此特徵，而在 IAM Identity Center 模式中不支援。下列範例示範如何建立此類政策。

**重要**  
如果您套用類似下列其中一個範例的 IAM 政策，則使用者無法透過指定的 SageMaker API 或透過 SageMaker AI 主控台存取 SageMaker AI MLflow。若要存取 SageMaker AI MLflow，使用者必須使用預先簽署的 URL 或直接呼叫 SageMaker API。

**範例 1：僅允許介面端點子網路內的連線**

下列政策僅允許向建立介面端點之子網路中的呼叫者建立連線。

------
#### [ JSON ]

****  

```
{
    "Id": "mlflow-example-1",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-111bbaaa"
                }
            }
        }
    ]
}
```

------

**範例 2：僅允許透過介面端點使用 `aws:sourceVpce` 的連線**

下列策略僅允許連線至透過 `aws:sourceVpce` 條件金鑰指定的介面端點建立的連線。例如，第一個介面端點可以允許透過 SageMaker AI 主控台進行存取。第二個介面端點可允許透過 SageMaker API 進行存取。

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-mlflow-example-2",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}
```

------

**範例 3：允許來自使用 `aws:SourceIp` IP 地址的連線**

下列政策只允許使用 `aws:SourceIp` 條件金鑰來自指定 IP 地址範圍的連線。

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-mlflow-example-3",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            }
        }
    ]
}
```

------

**範例 4：允許透過使用介面端點從 IP 地址進行連線 `aws:VpcSourceIp`** 

如果您透過介面端點存取 SageMaker AI MLflow，則您可以使用 `aws:VpcSourceIp` 條件金鑰，僅允許從子網路內指定的 IP 位址範圍進行連線，而您已在該子網路中建立介面端點，如下列政策所示：

------
#### [ JSON ]

****  

```
{
    "Id": "sagemaker-mlflow-example-4",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                },
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}
```

------