からのみアクセスを許可する VPC - Amazon SageMaker

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

からのみアクセスを許可する VPC

の外部ユーザーはVPC、 でインターフェイスエンドポイントをセットアップした場合でも、インターネットに接続 SageMaker MLflowまたはインターネット経由で接続できますVPC。

内の から行われた接続のみへのアクセスを許可するにはVPC、その効果のための (IAM) ポリシーを作成します AWS Identity and Access Management 。へのアクセスに使用されるすべてのユーザー、グループ、またはロールにそのポリシーを追加します SageMaker MLflow。この機能は、認証に IAM モードを使用する場合にのみサポートされ、IAMIdentity Center モードではサポートされていません。次の例は、そのようなポリシーの作成方法を示しています。

重要

次のいずれかの例のようなIAMポリシーを適用すると、ユーザーは SageMaker コンソールを介して指定された SageMaker APIs から にアクセス SageMaker MLflowできなくなります。にアクセスするには SageMaker MLflow、ユーザーは署名付き を使用するURLか、 SageMaker APIsを直接呼び出す必要があります。

例 1: インターフェイスエンドポイントのサブネット内でのみ接続を許可する

以下のポリシーでは、インターフェイスエンドポイントを作成したサブネット内の発信者にのみ接続を許可します。

{
    "Id": "mlflow-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}

例 2: aws:sourceVpce を使用してインターフェイスエンドポイントを介した接続のみを許可する

以下のポリシーでは、aws:sourceVpce 条件キーで指定したインターフェイスエンドポイントを介して作成された接続のみを許可します。例えば、最初のインターフェイスエンドポイントは、 SageMaker コンソールを介したアクセスを許可できます。2 番目のインターフェイスエンドポイントは、 を介したアクセスを許可できます SageMaker API。

{
    "Id": "sagemaker-mlflow-example-2",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}

例 3: aws:SourceIp を使用した IP アドレスからの接続を許可する

以下のポリシーでは、aws:SourceIp 条件キーを使用した、指定範囲の IP アドレスからの接続のみを許可します。

{
    "Id": "sagemaker-mlflow-example-3",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            }
        }
    ]
}

例 4: aws:VpcSourceIp を使用してインターフェイスエンドポイント経由の IP アドレスからの接続を許可する

インターフェイスエンドポイント経由で にアクセスする SageMaker MLflow場合は、次のポリシーに示すように、 aws:VpcSourceIp条件キーを使用して、インターフェイスエンドポイントを作成したサブネット内の指定された範囲の IP アドレスからの接続のみを許可できます。

{
    "Id": "sagemaker-mlflow-example-4",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                },
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}