Konfiguration von Schnittstellen-VPC-Endpunkten für Amazon SageMaker Unified Studio MCP - Amazon EMR
Schritt 1: Erstellen eines VPC-Schnittstellen-Endpunkts für Amazon SageMaker Unified Studio MCPSchritt 2: Erstellen einer VPC-Endpunktrichtlinie für Amazon SageMaker Unified Studio MCPSchritt 3: Testen Sie Ihre VPCSchritt 4: Beginnen Sie mit der Verwendung des MCP-VPC-Endpunkts

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration von Schnittstellen-VPC-Endpunkten für Amazon SageMaker Unified Studio MCP

Sie können eine private Verbindung zwischen Ihrer VPC und dem Amazon SageMaker Unified Studio MCP-Service herstellen, indem Sie einen VPC-Schnittstellen-Endpunkt erstellen. Schnittstellenendpunkte werden von Amazon VPC betrieben, sodass Sie ohne Internet-Gateway, NAT-Gerät, VPN-Verbindung oder Verbindung privat auf den MCP-Server in Ihrer VPC zugreifen können. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit dem MCP-Service zu kommunizieren, und der Datenverkehr zwischen Ihrer VPC und dem MCP-Service verlässt das Amazon-Netzwerk nicht.

Jeder Schnittstellenendpunkt wird durch eine oder mehrere Elastic Network Interfaces in Ihren VPC-Subnetzen repräsentiert. Weitere Informationen finden Sie unter Interface VPC Endpoints im Amazon VPC-Benutzerhandbuch.

Schritt 1: Erstellen eines VPC-Schnittstellen-Endpunkts für Amazon SageMaker Unified Studio MCP

Sie können einen VPC-Endpunkt für den Amazon SageMaker Unified Studio MCP-Service entweder mit der Amazon VPC-Konsole oder dem erstellen. AWS CLI Weitere Informationen finden Sie unter Erstellung eines Schnittstellenendpunkts im Benutzerhandbuch für Amazon VPC.

Erstellen Sie einen VPC-Endpunkt für Amazon SageMaker Unified Studio MCP mit dem folgenden Servicenamen:

  • com.amazonaws. <aws-region>. sagemaker-unified-studio-mcp

Wenn Sie privates DNS für den Endpunkt aktivieren, können Sie API-Anfragen an Amazon SageMaker Unified Studio MCP stellen, indem Sie dessen Standard-DNS-Namen für die Region verwenden, zum Beispiel sagemaker-unified-studio-mcp.us-east-1.api.aws

Weitere Informationen finden Sie unter Zugriff auf einen Service über einen Schnittstellenendpunkt im Benutzerhandbuch für Amazon VPC.

Schritt 2: Erstellen einer VPC-Endpunktrichtlinie für Amazon SageMaker Unified Studio MCP

Sie können Ihrem VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf Amazon SageMaker Unified Studio MCP steuert. Die Richtlinie gibt die folgenden Informationen an:

  • Prinzipal, der die Aktionen ausführen kann.

  • Aktionen, die ausgeführt werden können

  • Die Ressourcen, für die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.

Beispiel: VPC-Endpunktrichtlinie, um MCP-Zugriff auf eine bestimmte IAM-Rolle zu ermöglichen

Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für den MCP-Zugriff auf Amazon SageMaker Unified Studio. Wenn diese Richtlinie an einen Endpunkt angehängt ist, gewährt sie Zugriff auf die aufgelisteten Amazon SageMaker Unified Studio MCP-Aktionen für einen bestimmten IAM-Rollenprinzipal auf allen Ressourcen.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::ACCOUNT-ID:role/YourRoleName"
      },
      "Action": [
        "sagemaker-unified-studio-mcp:InvokeMcp",
        "sagemaker-unified-studio-mcp:CallReadOnlyTool",
        "sagemaker-unified-studio-mcp:CallPrivilegedTool"
      ],
      "Resource": "*"
    }
  ]
}

Schritt 3: Testen Sie Ihre VPC

Der curl Befehl validiert die end-to-end Netzwerkkonnektivität von Ihrem VPC-Netzwerk (EC2) zum VPC-Endpunkt, indem er eine Anfrage stellt. HTTP/HTTPS Eine Curl-Antwort, bei der eine Nachricht vom MCP-Server empfangen wird, bestätigt, dass der gesamte Netzwerkpfad funktionsfähig ist.

Methode 1: Mit aktiviertem privaten DNS (empfohlen)

curl https://sagemaker-unified-studio-mcp.us-east-1.api.aws/spark-troubleshooting/mcp

Methode 2: Ohne aktiviertes privates DNS

curl -k https://vpce-0069xxxx-ejwhxxx.sagemaker-unified-studio-mcp.us-east-1.vpce.amazonaws.com/spark-troubleshooting/mcp
Anmerkung

Das -k Flag umgeht die SSL-Zertifikatsverifizierung, da der Hostname zwischen dem DNS-Namen des VPC-Endpunkts und dem Common Name (CN) des Zertifikats nicht übereinstimmt.

In beiden Fällen gibt der Befehl curl eine Antwort zurück:. {"Message":"...."} Bei der Rückgabe mit einer Nachricht wird die erfolgreiche Netzwerkpfadkonnektivität zum VPC-Endpunkt des MCP-Dienstes überprüft.

Schritt 4: Beginnen Sie mit der Verwendung des MCP-VPC-Endpunkts

Nachdem Sie die Verbindung überprüft haben, können Sie den Schritten zur Konfiguration des MCP in folgen. Einrichtung für den Troubleshooting Agent Verwenden Sie einfach den privaten VPC-Endpunkt in Ihrer MCP-Konfiguration.