本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
僅允許從您的 內存取 VPC
即使您在 中設定介面端點, 以外的使用者VPC也可以透過網際網路連線至 SageMaker MLflow 或 VPC。
若要僅允許存取您 內建立的連線VPC,請 AWS Identity and Access Management 建立 (IAM) 政策以使其生效。將該政策新增至用於存取 的每個使用者、群組或角色 SageMaker MLflow。只有在使用 IAM 模式進行身分驗證時,才支援此功能,而 IAM Identity Center 模式則不支援此功能。下列範例示範如何建立此類政策。
重要
如果您套用類似於下列其中一個範例IAM的政策,則使用者無法透過 SageMaker 主控台指定的 SageMaker APIs 存取 SageMaker MLflow 。若要存取 SageMaker MLflow,使用者必須使用預先簽章URL或直接呼叫 SageMaker APIs 。
範例 1:僅允許介面端點子網路內的連線
下列政策僅允許向建立介面端點之子網路中的呼叫者建立連線。
{ "Id": "mlflow-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "MlflowAccess", "Effect": "Allow", "Action": [ "sagemaker-mlflow:*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-111bbaaa" } } } ] }
範例 2:僅允許透過介面端點使用 aws:sourceVpce 的連線
下列策略僅允許連線至透過 aws:sourceVpce 條件金鑰指定的介面端點建立的連線。例如,第一個介面端點可以允許透過 SageMaker 主控台存取 。第二個介面端點可以允許透過 存取 SageMaker API。
{ "Id": "sagemaker-mlflow-example-2", "Version": "2012-10-17", "Statement": [ { "Sid": "MlflowAccess", "Effect": "Allow", "Action": [ "sagemaker-mlflow:*" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": ["vpce-111bbccc","vpce-111bbddd"] } } } ] }
範例 3:允許來自使用 aws:SourceIp IP 地址的連線
下列政策只允許使用 aws:SourceIp 條件金鑰來自指定 IP 地址範圍的連線。
{ "Id": "sagemaker-mlflow-example-3", "Version": "2012-10-17", "Statement": [ { "Sid": "MlflowAccess", "Effect": "Allow", "Action": [ "sagemaker-mlflow:*" ], "Resource": "*", "Condition": { "IpAddress": { "aws:SourceIp": ["192.0.2.0/24","203.0.113.0/24"] } } } ] }
範例 4:允許透過使用介面端點從 IP 地址進行連線 aws:VpcSourceIp
如果您透過介面端點存取 SageMaker MLflow ,您可以使用 aws:VpcSourceIp 條件金鑰,僅允許來自您建立介面端點之子網路內指定 IP 地址範圍的連線,如下列政策所示:
{ "Id": "sagemaker-mlflow-example-4", "Version": "2012-10-17", "Statement": [ { "Sid": "MlflowAccess", "Effect": "Allow", "Action": [ "sagemaker-mlflow:*" ], "Resource": "*", "Condition": { "IpAddress": { "aws:VpcSourceIp": ["192.0.2.0/24","203.0.113.0/24"] }, "StringEquals": { "aws:SourceVpc":"vpc-111bbaaa"} } } ] }
