Configuration des points de terminaison VPC d'interface pour Amazon Unified Studio MCP SageMaker - Amazon EMR
Étape 1 : Création d'un point de terminaison VPC d'interface pour Amazon SageMaker Unified Studio MCPÉtape 2 : Création d'une politique de point de terminaison VPC pour Amazon SageMaker Unified Studio MCPÉtape 3 : test de votre VPCÉtape 4 : Commencez à utiliser le point de terminaison VPC MCP

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des points de terminaison VPC d'interface pour Amazon Unified Studio MCP SageMaker

Vous pouvez établir une connexion privée entre votre VPC et le service Amazon SageMaker Unified Studio MCP en créant un point de terminaison VPC d'interface. Les points de terminaison de l'interface sont alimentés par Amazon VPC, qui vous permet d'accéder en privé au serveur MCP de votre VPC sans passerelle Internet, appareil NAT, connexion VPN ou connexion. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec le service MCP et le trafic entre votre VPC et le service MCP ne quitte pas le réseau Amazon.

Chaque point de terminaison d'interface est représenté par une ou plusieurs interfaces réseau élastiques dans vos sous-réseaux VPC. Pour plus d'informations, consultez la section Points de terminaison VPC d'interface dans le guide de l'utilisateur Amazon VPC.

Étape 1 : Création d'un point de terminaison VPC d'interface pour Amazon SageMaker Unified Studio MCP

Vous pouvez créer un point de terminaison VPC pour le service Amazon SageMaker Unified Studio MCP à l'aide de la console Amazon VPC ou du. AWS CLI Pour plus d’informations, consultez Création d’un point de terminaison d’interface dans le Guide de l’utilisateur Amazon VPC.

Créez un point de terminaison VPC pour Amazon SageMaker Unified Studio MCP en utilisant le nom de service suivant :

  • com.amazonaws. <aws-region>. sagemaker-unified-studio-mcp

Si vous activez le DNS privé pour le point de terminaison, vous pouvez envoyer des demandes d'API à Amazon SageMaker Unified Studio MCP en utilisant son nom DNS par défaut pour la région, par exemple, sagemaker-unified-studio-mcp.us-east-1.api.aws

Pour plus d’informations, consultez Accès à un service via un point de terminaison d’interface dans le Guide de l’utilisateur Amazon VPC.

Étape 2 : Création d'une politique de point de terminaison VPC pour Amazon SageMaker Unified Studio MCP

Vous pouvez associer une politique de point de terminaison à votre point de terminaison VPC qui contrôle l'accès à Amazon SageMaker Unified Studio MCP. La politique spécifie les informations suivantes :

  • Le principal qui peut exécuter des actions.

  • Les actions qui peuvent être effectuées.

  • Les ressources sur lesquelles les actions peuvent être exécutées.

Pour plus d’informations, consultez Contrôle de l’accès aux services avec points de terminaison d’un VPC dans le Guide de l’utilisateur Amazon VPC.

Exemple : politique de point de terminaison VPC permettant à MCP d'accéder à un rôle IAM spécifique

Voici un exemple de politique de point de terminaison pour l'accès à Amazon SageMaker Unified Studio MCP. Lorsqu'elle est attachée à un point de terminaison, cette politique accorde l'accès aux actions Amazon SageMaker Unified Studio MCP répertoriées pour un principal de rôle IAM spécifique sur toutes les ressources.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::ACCOUNT-ID:role/YourRoleName"
      },
      "Action": [
        "sagemaker-unified-studio-mcp:InvokeMcp",
        "sagemaker-unified-studio-mcp:CallReadOnlyTool",
        "sagemaker-unified-studio-mcp:CallPrivilegedTool"
      ],
      "Resource": "*"
    }
  ]
}

Étape 3 : test de votre VPC

La curl commande valide la connectivité end-to-end réseau entre votre réseau VPC EC2 () et le point de terminaison VPC en effectuant une demande. HTTP/HTTPS Une réponse curl recevant un message du serveur MCP confirme que le chemin réseau complet est fonctionnel.

Méthode 1 : avec le DNS privé activé (recommandé)

curl https://sagemaker-unified-studio-mcp.us-east-1.api.aws/spark-upgrade/mcp

Méthode 2 : sans activation du DNS privé

curl -k https://vpce-0069xxxx-ejwh6xxx.sagemaker-unified-studio-mcp.us-east-1.vpce.amazonaws.com/spark-upgrade/mcp
Note

L'-kindicateur contourne la vérification du certificat SSL en raison d'une incompatibilité du nom d'hôte entre le nom DNS du point de terminaison du VPC et le nom commun (CN) du certificat.

Dans les deux cas, la commande curl renvoie une réponse :{"Message":"...."}. Le retour avec un message vérifie que le chemin réseau est correctement connecté au point de terminaison VPC du service MCP.

Étape 4 : Commencez à utiliser le point de terminaison VPC MCP

Une fois que vous avez vérifié la connexion, vous pouvez suivre les étapes pour configurer le MCP dansConfiguration de l'agent de mise à niveau. Utilisez simplement le point de terminaison VPC privé dans votre configuration MCP.