Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Amazon Comprehend utiliza diversas medidas de seguridad para garantizar la seguridad de sus datos con nuestros contenedores de trabajos, donde se almacenan mientras Amazon Comprehend los utiliza. Sin embargo, los contenedores de trabajos acceden a AWS los recursos, como los depósitos de Amazon S3 en los que se almacenan datos y modelan artefactos, a través de Internet.
Para controlar el acceso a sus datos, le recomendamos que cree una nube privada virtual (VPC) y la configure de manera que no se pueda acceder a los datos y los contenedores a través de Internet. Para obtener información sobre cómo crear y configurar unVPC, consulte Cómo empezar con Amazon VPC en la Guía del VPC usuario de Amazon. El uso de un VPC ayuda a proteger sus datos porque puede configurarlos VPC para que no estén conectados a Internet. El uso de a VPC también le permite monitorear todo el tráfico de red que entra y sale de nuestros contenedores de trabajo mediante el uso de registros de VPC flujo. Para obtener más información, consulta VPCFlow Logs en la Guía del VPC usuario de Amazon.
La VPC configuración se especifica al crear un trabajo, especificando las subredes y los grupos de seguridad. Al especificar las subredes y los grupos de seguridad, Amazon Comprehend crea interfaces de red elásticas ENIs () que se asocian a los grupos de seguridad de una de las subredes. ENIspermita que nuestros contenedores de trabajos se conecten a los recursos de su. VPC Para obtener información al respectoENIs, consulte Elastic Network Interfaces en la Guía del VPC usuario de Amazon.
nota
En el caso de los trabajos, solo puedes configurar subredes con una tenencia predeterminada VPC en la que la instancia se ejecute en hardware compartido. Para obtener más información sobre el atributo de arrendamientoVPCs, consulte Dedicated Instances en la Guía del EC2 usuario de Amazon.
Configurar un trabajo para el VPC acceso a Amazon
Para especificar subredes y grupos de seguridad en su VPC cuenta, utilice el parámetro de VpcConfig
solicitud correspondiente API o proporcione esta información cuando cree un trabajo en la consola de Amazon Comprehend. Amazon Comprehend utiliza esta información para crearlos ENIs y adjuntarlos a nuestros contenedores de trabajos. ENIsProporcionan a nuestros contenedores de trabajo una conexión de red interna VPC que no esté conectada a Internet.
Los siguientes APIs contienen el parámetro de VpcConfig
solicitud:
A continuación, se muestra un ejemplo del VpcConfig parámetro que se incluye en la API llamada:
"VpcConfig": {
"SecurityGroupIds": [
" sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
]
}
Para configurar un VPC desde la consola de Amazon Comprehend, seleccione los detalles de configuración en la sección opcional VPCConfiguración al crear el trabajo.
![VPCSección opcional en Creating Analysis Job](images/vpc-image-10.png)
Configure sus VPC trabajos para Amazon Comprehend
Al configurar las tareas VPC de Amazon Comprehend, siga las siguientes pautas. Para obtener información sobre la configuración de unaVPC, consulte Trabajar con subredes VPCs y subredes en la Guía del VPC usuario de Amazon.
Cómo asegurar que las subredes dispongan de suficientes direcciones IP
VPCLas subredes deben tener al menos dos direcciones IP privadas para cada instancia de un trabajo. Para obtener más información, consulte VPCDimensionamiento de subredes IPv4 en la Guía del VPCusuario de Amazon.
Creación de un VPC punto de conexión Amazon S3
Si configura sus contenedores de tareas VPC para que no tengan acceso a Internet, no se podrán conectar a los buckets de Amazon S3 que contienen sus datos, a menos que cree un VPC punto de conexión que permita el acceso. Al crear un VPC punto final, permite que los contenedores de trabajos accedan a sus datos durante los trabajos de formación y análisis.
Al crear el VPC punto final, configure estos valores:
Seleccione la categoría de servicio como AWS Servicios
Especifique el servicio como
com.amazonaws.
region
.s3Seleccione Gateway como tipo de VPC punto final
Si lo está utilizando AWS CloudFormation para crear el VPC punto final, siga la AWS CloudFormation VPCEndpointdocumentación. En el siguiente ejemplo, se muestra la VPCEndpointconfiguración de una AWS CloudFormation plantilla.
VpcEndpoint:
Type: AWS::EC2::VPCEndpoint
Properties:
PolicyDocument:
Version: '2012-10-17'
Statement:
- Action:
- s3:GetObject
- s3:PutObject
- s3:ListBucket
- s3:GetBucketLocation
- s3:DeleteObject
- s3:ListMultipartUploadParts
- s3:AbortMultipartUpload
Effect: Allow
Resource:
- "*"
Principal: "*"
RouteTableIds:
- Ref: RouteTable
ServiceName:
Fn::Join:
- ''
- - com.amazonaws.
- Ref: AWS::Region
- ".s3"
VpcId:
Ref: VPC
Le recomendamos que también cree una política personalizada que permita que solo sus solicitudes accedan VPC a sus buckets de S3. Para obtener más información, consulte Endpoints for Amazon S3 en la Guía del VPC usuario de Amazon.
La siguiente política permite el acceso a los buckets de S3. Edite esta política para permitir el acceso solo a los recursos que necesita su trabajo.
{
"Version": "2008-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:DeleteObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": "*"
}
]
}
Utilice la DNS configuración predeterminada para la tabla de rutas de puntos finales, de modo que se resuelva el Amazon S3 estándar URLs (por ejemplohttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket
). Si no utiliza la DNS configuración predeterminada, asegúrese de que la URLs que utiliza para especificar las ubicaciones de los datos en sus trabajos se resuelva configurando las tablas de rutas de los puntos finales. Para obtener información sobre las tablas de enrutamiento de puntos VPC finales, consulte Enrutamiento para puntos de enlace de puerta de enlace en la Guía del VPC usuario de Amazon.
La política del punto de conexión predeterminado permite a los usuarios instalar paquetes desde los repositorios de Amazon Linux y Amazon Linux 2 en nuestro contenedor de trabajos. Si no desea que los usuarios instalen paquetes desde ese repositorio, cree una política de punto de enlace personalizada que deniegue de forma explícita el acceso a los repositorios de Amazon Linux y Amazon Linux 2. Comprehend per se no necesita ningún paquete de este tipo, por lo que no tendrá ningún impacto sobre la funcionalidad. A continuación se muestra un ejemplo de una política que deniega el acceso a estos repositorios:
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
Permisos para el DataAccessRole
Cuando utilice una VPC con su trabajo de análisis, la DataAccessRole
utilizada para las Start*
operaciones Create*
y también debe tener permisos VPC desde los que se accede a los documentos de entrada y al segmento de salida.
La siguiente política proporciona el acceso necesario a la DataAccessRole
que se usa para las operaciones Create*
yStart*
.
{
"Version": "2008-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
}
]
}
Configure el grupo VPC de seguridad
En los trabajos distribuidos, debe permitir la comunicación entre distintos contenedores de trabajos en el mismo trabajo. Para ello, configure una regla para el grupo de seguridad que permita conexiones entrantes entre miembros del mismo grupo de seguridad. Para obtener más información, consulte las reglas de los grupos de seguridad en la Guía del VPC usuario de Amazon.
Conéctese a recursos ajenos a su VPC
Si configura el suyo VPC para que no tenga acceso a Internet, los trabajos que lo utilice VPC no tendrán acceso a recursos ajenos al suyoVPC. Si tus trabajos necesitan acceso a recursos ajenos a los VPC tuyos, proporciona acceso con una de las siguientes opciones:
Si su trabajo necesita acceder a un AWS servicio que admita VPC puntos finales de interfaz, cree un punto final para conectarse a ese servicio. Para obtener una lista de los servicios que admiten puntos de enlace de interfaz, consulte VPCEndpoints en la Guía VPCdel usuario de Amazon. Para obtener información sobre la creación de un VPC punto final de interfaz, consulte Interface VPC Endpoints (AWS PrivateLink) en la Guía del VPC usuario de Amazon.
Si su trabajo necesita acceder a un AWS servicio que no admite VPC puntos finales de interfaz o a un recurso externo AWS, cree una NAT puerta de enlace y configure sus grupos de seguridad para permitir las conexiones salientes. Para obtener información sobre cómo configurar una NAT puerta de enlace para ustedVPC, consulte Escenario 2: VPC con subredes públicas y privadas (NAT) en la Guía del VPC usuario de Amazon.