本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 Amazon SageMaker Unified Studio MCP 的介面 VPC 端點
<a name="spark-upgrade-agent-vpc-endpoints"></a>

您可以建立*介面 VPC 端點*，在 VPC 與 Amazon SageMaker Unified Studio MCP 服務之間建立私有連線。介面端點採用 [Amazon VPC](https://aws.amazon.com/vpc/) 技術，可讓您在沒有網際網路閘道、NAT 裝置、VPN 連線或連線的情況下，私下存取 VPC 中的 MCP 伺服器。VPC 中的執行個體不需要公有 IP 地址即可與 MCP 服務通訊，而 VPC 和 MCP 服務之間的流量也不會離開 Amazon 網路。

每個界面端點都由 VPC 子網路中的一或多個[彈性網路界面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)表示。如需詳細資訊，請參閱《Amazon [VPC 使用者指南》中的界面](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) VPC 端點。 **

## 步驟 1：為 Amazon SageMaker Unified Studio MCP 建立介面 VPC 端點
<a name="create-vpc-endpoint-upgrade"></a>

您可以使用 Amazon VPC 主控台或 ，為 Amazon SageMaker Unified Studio MCP 服務建立 VPC 端點 AWS CLI。如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[建立介面端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。

使用下列服務名稱為 Amazon SageMaker Unified Studio MCP 建立 VPC 端點：
+ com.amazonaws.{{<aws-region>}}.sagemaker-unified-studio-mcp

如果您為端點啟用私有 DNS，則可以使用區域的預設 DNS 名稱向 Amazon SageMaker Unified Studio MCP 提出 API 請求，例如， `sagemaker-unified-studio-mcp.us-east-1.api.aws`

如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[透過介面端點存取服務](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。

## 步驟 2：為 Amazon SageMaker Unified Studio MCP 建立 VPC 端點政策
<a name="create-vpc-endpoint-policy-upgrade"></a>

您可以將端點政策連接至 VPC 端點，以控制對 Amazon SageMaker Unified Studio MCP 的存取。此政策會指定下列資訊：
+ 可執行動作的主體。
+ 可執行的動作。
+ 可供執行動作的資源。

如需詳細資訊，請參閱 *Amazon VPC 使用者指南*中的[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。

### 範例：允許 MCP 存取特定 IAM 角色的 VPC 端點政策
<a name="vpc-endpoint-policy-example-upgrade"></a>

以下是 Amazon SageMaker Unified Studio MCP 存取的端點政策範例。連接至端點時，此政策會授予所有資源上特定 IAM 角色主體對所列 Amazon SageMaker Unified Studio MCP 動作的存取權。

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::ACCOUNT-ID:role/YourRoleName"
      },
      "Action": [
        "sagemaker-unified-studio-mcp:InvokeMcp",
        "sagemaker-unified-studio-mcp:CallReadOnlyTool",
        "sagemaker-unified-studio-mcp:CallPrivilegedTool"
      ],
      "Resource": "*"
    }
  ]
}
```

## 步驟 3：測試您的 VPC
<a name="test-vpc-endpoint-upgrade"></a>

`curl` 命令會透過提出 HTTP/HTTPS 請求，驗證從 VPC 網路 (EC2) 到 VPC 端點的end-to-end網路連線。從 MCP 伺服器接收訊息的 curl 回應會確認完整的網路路徑正常運作。

### 方法 1：啟用私有 DNS （建議）
<a name="test-private-dns-enabled-upgrade"></a>

```
curl https://sagemaker-unified-studio-mcp.us-east-1.api.aws/spark-upgrade/mcp
```

### 方法 2：未啟用私有 DNS
<a name="test-private-dns-disabled-upgrade"></a>

```
curl -k https://vpce-0069xxxx-ejwh6xxx.sagemaker-unified-studio-mcp.us-east-1.vpce.amazonaws.com/spark-upgrade/mcp
```

**注意**  
由於 VPC 端點 DNS 名稱與憑證的通用名稱 (CN) 不相符， `-k`旗標會略過 SSL 憑證驗證。

在這兩種情況下，curl 命令都會傳回回應：`{"Message":"...."}`。使用訊息傳回 會驗證 MCP 服務 VPC 端點的成功網路路徑連線。

## 步驟 4：開始使用 MCP VPC 端點
<a name="use-vpc-endpoint-upgrade"></a>

驗證連線後，您可以依照步驟在 中設定 MCP[升級代理程式的設定](emr-spark-upgrade-agent-setup.md)。只需在 MCP 組態中使用私有 VPC 端點即可。