Amazon SageMaker Unified Studio MCP のインターフェイス VPC エンドポイントの設定 - Amazon EMR
ステップ 1: Amazon SageMaker Unified Studio MCP のインターフェイス VPC エンドポイントを作成するステップ 2: Amazon SageMaker Unified Studio MCP の VPC エンドポイントポリシーを作成するステップ 3: VPC をテストするステップ 4: MCP VPC エンドポイントの使用を開始する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon SageMaker Unified Studio MCP のインターフェイス VPC エンドポイントの設定

インターフェイス VPC エンドポイントを作成することで、VPC と Amazon SageMaker Unified Studio MCP サービス間のプライベート接続を確立できます。インターフェイスエンドポイントは Amazon VPC を利用しているため、インターネットゲートウェイ、NAT デバイス、VPN 接続、または 接続なしで VPC 内の MCP サーバーにプライベートにアクセスできます。VPC 内のインスタンスは、パブリック IP アドレスがなくても MCP サービスと通信でき、VPC と MCP サービス間のトラフィックは Amazon ネットワークを離れません。

各インターフェイスエンドポイントは、VPC サブネット内の 1 つ以上の Elastic Network Interface によって表されます。詳細については、「Amazon VPC ユーザーガイド」の「インターフェイス VPC エンドポイント」を参照してください。

ステップ 1: Amazon SageMaker Unified Studio MCP のインターフェイス VPC エンドポイントを作成する

Amazon VPC コンソールまたは を使用して、Amazon SageMaker Unified Studio MCP サービスの VPC エンドポイントを作成できます AWS CLI。詳細については、「Amazon VPC ユーザーガイド」のインターフェイスエンドポイントの作成を参照してください。

次のサービス名を使用して、Amazon SageMaker Unified Studio MCP の VPC エンドポイントを作成します。

  • com.amazonaws.<aws-region>.sagemaker-unified-studio-mcp

エンドポイントのプライベート DNS を有効にすると、リージョンのデフォルト DNS 名を使用して Amazon SageMaker Unified Studio MCP に API リクエストを行うことができます。たとえば、 sagemaker-unified-studio-mcp.us-east-1.api.aws

詳細については、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントを介したサービスへのアクセス」を参照してください。

ステップ 2: Amazon SageMaker Unified Studio MCP の VPC エンドポイントポリシーを作成する

Amazon SageMaker Unified Studio MCP へのアクセスを制御するエンドポイントポリシーを VPC エンドポイントにアタッチできます。このポリシーでは、以下の情報を指定します。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • アクションを実行できるリソース。

詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

例: 特定の IAM ロールへの MCP アクセスを許可する VPC エンドポイントポリシー

以下は、Amazon SageMaker Unified Studio MCP アクセスのエンドポイントポリシーの例です。エンドポイントにアタッチすると、このポリシーは、すべてのリソースの特定の IAM ロールプリンシパルに対して、リストされた Amazon SageMaker Unified Studio MCP アクションへのアクセスを許可します。

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::ACCOUNT-ID:role/YourRoleName"
      },
      "Action": [
        "sagemaker-unified-studio-mcp:InvokeMcp",
        "sagemaker-unified-studio-mcp:CallReadOnlyTool",
        "sagemaker-unified-studio-mcp:CallPrivilegedTool"
      ],
      "Resource": "*"
    }
  ]
}

ステップ 3: VPC をテストする

curl コマンドは、HTTP/HTTPS リクエストを実行して、VPC ネットワーク (EC2) から VPC エンドポイントへのend-to-endのネットワーク接続を検証します。MCP サーバーからメッセージを受信する curl レスポンスは、完全なネットワークパスが機能していることを確認します。

方法 1: プライベート DNS を有効にした場合 (推奨)

curl https://sagemaker-unified-studio-mcp.us-east-1.api.aws/spark-upgrade/mcp

方法 2: プライベート DNS が有効になっていない場合

curl -k https://vpce-0069xxxx-ejwh6xxx.sagemaker-unified-studio-mcp.us-east-1.vpce.amazonaws.com/spark-upgrade/mcp
注記

-k フラグは、VPC エンドポイント DNS 名と証明書の共通名 (CN) のホスト名が一致しないため、SSL 証明書の検証をバイパスします。

どちらの場合も、curl コマンドはレスポンス を返します{"Message":"...."}。メッセージで を返すと、MCP サービスの VPC エンドポイントへの正常なネットワークパス接続が検証されます。

ステップ 4: MCP VPC エンドポイントの使用を開始する

接続を確認したら、手順に従って で MCP を設定できますアップグレードエージェントのセットアップ。MCP 設定でプライベート VPC エンドポイントを使用するだけです。