기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 인터페이스 VPC 엔드포인트를 통해 MLflow 추적 서버에 연결
MLflow 추적 서버는 Amazon SageMaker AI에서 관리하는 Amazon Virtual Private Cloud에서 실행됩니다. 자체 VPC의 엔드포인트에서 MLflow 추적 서버에 연결할 수 있습니다. 추적 서버에 대한 요청은 퍼블릭 인터넷에 노출되지 않습니다. VPC를 SageMaker AI에 연결하는 방법에 대한 자세한 내용은 [VPC 내에서 SageMaker AI에 연결](interface-vpc-endpoint.md) 섹션을 참조하세요.
**Topics**
+ [VPC 엔드포인트 생성](mlflow-interface-endpoint-create.md)
+ [SageMaker AI MLflow에 대한 VPC 엔드포인트 정책 생성](mlflow-private-link-policy.md)
+ [VPC 내에서만 액세스 허용](mlflow-private-link-restrict.md)
# VPC 엔드포인트 생성
인터페이스 엔드포인트를 만들어 SageMaker AI MLflow에 연결할 수 있습니다. 자세한 내용은 [인터페이스 엔드포인트 생성](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)을 참조하세요. SageMaker AI MLflow에 연결하려는 VPC에 있는 모든 서브넷에 대해 인터페이스 엔드포인트를 만들어야 합니다.
인터페이스 엔드포인트를 만들 때 엔드포인트의 보안 그룹이 HTTPS 트래픽에 대한 인바운드 및 아웃바운드 액세스를 허용해야 합니다. 자세한 정보는 [VPC 엔드포인트를 통해 서비스에 대한 액세스 제어](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups)를 참조하세요.
**참고**
SageMaker AI MLflow에 연결하기 위한 인터페이스 엔드포인트를 만드는 것 외에도 Amazon SageMaker API에 연결할 인터페이스 엔드포인트를 만드세요. 사용자가 SageMaker AI MLflow에 연결하기 위한 URL을 가져오기 위해 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html)을 직접적으로 호출하면 해당 호출은 SageMaker API에 연결하는 데 사용되는 인터페이스 엔드포인트를 거칩니다.
인터페이스 엔드포인트를 생성할 때 서비스 이름으로 **aws.sagemaker.*AWS 리전*.experiments**을 지정합니다. 인터페이스 엔드포인트를 생성한 후에는 엔드포인트에 대해 프라이빗 DNS를 사용하도록 설정합니다. SageMaker Python SDK를 사용하여 VPC 내에서 SageMaker AI MLflow에 연결하는 경우 퍼블릭 인터넷 대신 인터페이스 엔드포인트를 통해 연결합니다.
내에서 다음 절차를 사용하여 엔드포인트를 생성할 AWS Management Console수 있습니다.
**엔드포인트 생성**
1. [Amazon Virtual Private Cloud 콘솔](https://console.aws.amazon.com/vpcconsole)로 이동합니다.
1. **엔드포인트**로 이동합니다.
1. **엔드포인트 생성**을 선택합니다.
1. (선택 사항) **이름(태그)**에 엔드포인트의 이름을 지정합니다.
1. **서비스** 아래의 검색 창에서 **실험**을 지정합니다.
1. 만들려는 엔드포인트를 선택합니다.
1. **VPC**의 경우 VPC의 이름을 지정합니다.
1. **엔드포인트 생성**을 선택합니다.
# SageMaker AI MLflow에 대한 VPC 엔드포인트 정책 생성
SageMaker AI MLflow에 연결하는 데 사용하는 인터페이스 VPC 엔드포인트에 Amazon VPC 엔드포인트 정책을 연결할 수 있습니다. 엔드포인트 정책은 MLflow에 대한 액세스를 제어합니다. 다음을 지정할 수 있습니다.
+ 작업을 수행할 수 있는 보안 주체.
+ 수행할 수 있는 작업.
+ 작업을 수행할 수 있는 리소스
자세한 정보는 [VPC 엔드포인트를 통해 서비스에 대한 액세스 제어](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)를 참조하세요.
다음 VPC 엔드포인트 정책 예시에서는 엔드포인트에 대한 액세스 권한이 있는 모든 사용자가 지정된 MLflow 추적 서버에 액세스할 수 있다고 되어 있습니다. 다른 추적 서버에 대한 액세스는 거부됩니다.
```
{
"Statement": [
{
"Action": "sagemaker-mlflow:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "arn:aws:sagemaker:AWS 리전:111122223333:mlflow-tracking-server/*"
}
]
}
```
# VPC 내에서만 액세스 허용
VPC에 인터페이스 엔드포인트를 설정한 경우에도 VPC 외부의 사용자는 인터넷을 통해 SageMaker AI MLflow에 연결할 수 있습니다.
VPC 내에서 이루어진 연결에만 액세스를 허용하려면 AWS Identity and Access Management (IAM) 정책을 생성해야 합니다. 그런 다음 SageMaker AI MLflow에 액세스하는 데 사용되는 모든 사용자, 그룹 또는 역할에 해당 정책을 추가합니다. 이 기능은 인증을 위해 IAM 모드를 사용할 때만 지원되며 IAM Identity Center 모드에서는 지원되지 않습니다. 다음 예에서는 이러한 정책을 생성하는 방법을 보여줍니다.
**중요**
다음 중 하나와 유사한 IAM 정책을 적용하면 사용자가 SageMaker AI 콘솔을 통해 지정된 SageMaker API를 사용하여 SageMaker AI MLflow에 액세스할 수 없습니다. SageMaker AI MLflow에 액세스하려면 사용자는 미리 서명된 URL을 사용하거나 SageMaker API를 직접적으로 호출해야 합니다.
**예 1: 인터페이스 엔드포인트의 서브넷 내에서만 연결 허용**
이 정책으로는 인터페이스 엔드포인트를 생성한 서브넷의 호출자에만 연결할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Id": "mlflow-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-111bbaaa"
}
}
}
]
}
```
------
**예 2: `aws:sourceVpce`를 사용하여 인터페이스 엔드포인트를 통한 연결만 허용**
다음 정책은 `aws:sourceVpce`조건 키로 지정된 인터페이스 엔드포인트를 통해 이루어진 연결만 허용합니다. 예를 들어 첫 번째 인터페이스 엔드포인트는 SageMaker AI 콘솔을 통한 액세스를 허용할 수 있습니다. 두 번째 인터페이스 엔드포인트는 SageMaker API를 통한 액세스를 허용할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
**예 3: `aws:SourceIp`을 사용하여 IP 주소에서의 연결 허용 **
다음 정책은 `aws:SourceIp`조건 키를 사용하여 지정된 IP 주소 범위에서만 연결을 허용합니다.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
**예 4: `aws:VpcSourceIp`를 사용하여 인터페이스 엔드포인트를 통한 IP 주소로부터의 연결 허용 **
인터페이스 엔드포인트를 통해 SageMaker AI MLflow에 액세스하는 경우 다음 정책에 표시된 대로 `aws:VpcSourceIp` 조건 키를 사용하여 인터페이스 엔드포인트를 만든 서브넷 내의 지정된 IP 주소 범위에서만 연결을 허용할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-4",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------