내 에서만 액세스 허용 VPC

의 인터페이스 엔드포인트를 SageMaker MLflow 설정하더라도 의 외부 사용자는 인터넷을 통해 또는 에 연결할 VPC 수 있습니다VPC.

내 에서 이루어진 연결에만 액세스를 허용하려면 해당 효과에 대한 (IAM) 정책을 VPC생성합니다 AWS Identity and Access Management . 에 액세스하는 데 사용되는 모든 사용자, 그룹 또는 역할에 해당 정책을 추가합니다 SageMaker MLflow. 이 기능은 인증에 IAM 모드를 사용하는 경우에만 지원되며 IAM Identity Center 모드에서는 지원되지 않습니다. 다음 예에서는 이러한 정책을 생성하는 방법을 보여줍니다.

중요

다음 예제 중 하나와 유사한 IAM 정책을 적용하는 경우 사용자는 SageMaker 콘솔을 통해 지정된 SageMaker APIs 를 통해 에 액세스할 SageMaker MLflow 수 없습니다. 에 액세스하려면 SageMaker MLflow사용자는 미리 서명된 를 사용하거나 를 SageMaker APIs 직접 URL 호출해야 합니다.

예 1: 인터페이스 엔드포인트의 서브넷 내에서만 연결 허용

이 정책으로는 인터페이스 엔드포인트를 생성한 서브넷의 호출자에만 연결할 수 있습니다.


{
    "Id": "mlflow-example-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}

예 2: aws:sourceVpce를 사용하여 인터페이스 엔드포인트를 통한 연결만 허용

다음 정책은 aws:sourceVpce조건 키로 지정된 인터페이스 엔드포인트를 통해 이루어진 연결만 허용합니다. 예를 들어 첫 번째 인터페이스 엔드포인트는 SageMaker 콘솔을 통해 액세스를 허용할 수 있습니다. 두 번째 인터페이스 엔드포인트는 를 통해 액세스를 허용할 수 있습니다 SageMaker API.


{
    "Id": "sagemaker-mlflow-example-2",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:sourceVpce": [
                        "vpce-111bbccc",
                        "vpce-111bbddd"
                    ]
                }
            }
        }
    ]
}

예 3: aws:SourceIp을 사용하여 IP 주소에서의 연결 허용

다음 정책은 aws:SourceIp조건 키를 사용하여 지정된 IP 주소 범위에서만 연결을 허용합니다.


{
    "Id": "sagemaker-mlflow-example-3",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            }
        }
    ]
}

예 4: aws:VpcSourceIp를 사용하여 인터페이스 엔드포인트를 통한 IP 주소로부터의 연결 허용

인터페이스 엔드포인트를 통해 액세스하는 SageMaker MLflow 경우 aws:VpcSourceIp 조건 키를 사용하여 다음 정책에 표시된 대로 인터페이스 엔드포인트를 생성한 서브넷 내의 지정된 IP 주소 범위에서만 연결을 허용할 수 있습니다.


{
    "Id": "sagemaker-mlflow-example-4",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "MlflowAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-mlflow:*"
            ],
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                },
                "StringEquals": {
                    "aws:SourceVpc": "vpc-111bbaaa"
                }
            }
        }
    ]
}

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

에 대한 VPC 엔드포인트 정책 생성 SageMaker MLflow

VPC 인터페이스 엔드포인트를 통해 노트북 인스턴스에 연결