翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
VPC 内からのみアクセスを許可する
VPC にインターフェイスエンドポイントを設定した場合でも、VPC 外部のユーザーはインターネットを介して SageMaker AI MLflow に接続できます。
VPC 内からの接続のみにアクセスを許可するには、そのような趣旨の AWS Identity and Access Management (IAM) ポリシーを作成します。このポリシーを SageMaker AI MLflow へのアクセスに使用されるすべてのユーザー、グループ、またはロールに追加します。この機能は、認証に IAM モードを使用する場合にのみサポートされ、IAM アイデンティティセンターモードではサポートされません。次の例は、そのようなポリシーの作成方法を示しています。
重要
次の例のいずれかに類似した IAM ポリシーを適用すると、ユーザーは SageMaker AI コンソールから指定された SageMaker API を介して SageMaker AI MLflow にアクセスできなくなります。SageMaker AI MLflow にアクセスするには、ユーザーは署名付き URL を使用するか、SageMaker API を直接呼び出す必要があります。
例 1: インターフェイスエンドポイントのサブネット内でのみ接続を許可する
以下のポリシーでは、インターフェイスエンドポイントを作成したサブネット内の発信者にのみ接続を許可します。
例 2: aws:sourceVpce を使用してインターフェイスエンドポイントを介した接続のみを許可する
以下のポリシーでは、aws:sourceVpce 条件キーで指定したインターフェイスエンドポイントを介して作成された接続のみを許可します。例えば、最初のインターフェイスエンドポイントは SageMaker AI コントロールパネルからのアクセスを許可します。2 番目のインターフェイスエンドポイントは SageMaker API を介したアクセスを許可します。
例 3: aws:SourceIp を使用した IP アドレスからの接続を許可する
以下のポリシーでは、aws:SourceIp 条件キーを使用した、指定範囲の IP アドレスからの接続のみを許可します。
例 4: aws:VpcSourceIp を使用してインターフェイスエンドポイント経由の IP アドレスからの接続を許可する
インターフェイスエンドポイントを介して SageMaker AI MLflow にアクセスする場合は、以下のポリシーに示されるとおり、aws:VpcSourceIp 条件キーを使用することによって、インターフェイスエンドポイントを作成したサブネット内の指定された範囲の IP アドレスからの接続のみを許可することができます。
