Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Lindungi pekerjaan dengan menggunakan Amazon Virtual Private Cloud
Amazon Comprehend menggunakan berbagai langkah keamanan untuk memastikan keamanan data Anda dengan wadah kerja kami di mana disimpan saat digunakan oleh Amazon Comprehend. Namun, wadah pekerjaan mengakses AWS sumber daya—seperti bucket Amazon S3 tempat Anda menyimpan data dan artefak model—melalui internet.
Untuk mengontrol akses ke data Anda, kami sarankan Anda membuat *virtual private cloud* (VPC) dan mengonfigurasinya sehingga data dan kontainer tidak dapat diakses melalui internet. Untuk informasi tentang membuat dan mengonfigurasi VPC, [lihat Memulai Dengan Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/getting-started-ipv4.html) di Panduan Pengguna *Amazon* VPC. Menggunakan VPC membantu melindungi data Anda karena Anda dapat mengonfigurasi VPC Anda sehingga tidak terhubung ke internet. Menggunakan VPC juga memungkinkan Anda untuk memantau semua lalu lintas jaringan masuk dan keluar dari wadah pekerjaan kami dengan menggunakan log aliran VPC. Untuk informasi selengkapnya, lihat [Log Alur VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) di *Panduan Pengguna Amazon VPC*.
Anda menentukan konfigurasi VPC Anda ketika Anda membuat pekerjaan, dengan menentukan subnet dan grup keamanan. Saat Anda menentukan subnet dan grup keamanan, Amazon *Comprehend membuat ENIs antarmuka jaringan elastis* () yang terkait dengan grup keamanan Anda di salah satu subnet. ENIs memungkinkan wadah pekerjaan kami terhubung ke sumber daya di VPC Anda. Untuk selengkapnya ENIs, lihat [Antarmuka Jaringan Elastis](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) di Panduan *Pengguna Amazon VPC*.
**catatan**
Untuk pekerjaan, Anda hanya dapat mengonfigurasi subnet dengan VPC penyewaan default di mana instans Anda berjalan pada perangkat keras bersama. Untuk informasi selengkapnya tentang atribut penyewaan VPCs, lihat [Instans Khusus di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) Pengguna *Amazon EC2*.
## Konfigurasikan pekerjaan untuk akses VPC Amazon
Untuk menentukan subnet dan grup keamanan di VPC Anda, gunakan `VpcConfig` parameter permintaan API yang berlaku, atau berikan informasi ini saat Anda membuat pekerjaan di konsol Amazon Comprehend. Amazon Comprehend menggunakan informasi ini ENIs untuk membuat dan melampirkannya ke wadah pekerjaan kami. ENIs Menyediakan wadah pekerjaan kami dengan koneksi jaringan dalam VPC Anda yang tidak terhubung ke internet.
Berikut ini APIs berisi parameter `VpcConfig` permintaan:
+ `Create*` APIs: ` [CreateDocumentClassifier](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateDocumentClassifier.html)`, ` [CreateEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateEntityRecognizer.html) `
+ `Start*` APIs: ` [StartDocumentClassificationJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartDocumentClassificationJob.html)`, ` [StartDominantLanguageDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartDominantLanguageDetectionJob.html)`, ` [StartEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartEntitiesDetectionJob.html)`, ` [StartKeyPhrasesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartKeyPhrasesDetectionJob.html)`, ` [StartSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartSentimentDetectionJob.html)`, ` [StartTargetedSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartTargetedSentimentDetectionJob.html)`, ` [StartTopicsDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartTopicsDetectionJob.html)`
Berikut ini adalah contoh VpcConfig parameter yang Anda sertakan dalam panggilan API Anda:
```
"VpcConfig": {
"SecurityGroupIds": [
" sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
]
}
```
Untuk mengonfigurasi VPC dari konsol Amazon Comprehend, pilih detail konfigurasi dari bagian Pengaturan **VPC** opsional saat membuat pekerjaan.
![\[Bagian VPC opsional dalam Membuat Analysis Job\]](http://docs.aws.amazon.com/id_id/comprehend/latest/dg/images/vpc-image-10.png)
## Konfigurasikan VPC Anda untuk pekerjaan Amazon Comprehend
Saat mengonfigurasi VPC untuk pekerjaan Amazon Comprehend Anda, gunakan panduan berikut. Untuk informasi tentang cara menyiapkan VPC, lihat [Bekerja dengan VPCs dan Subnet](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html) di Panduan Pengguna Amazon *VPC*.
**Pastikan Subnet Memiliki Alamat IP yang Cukup**
Subnet VPC Anda harus memiliki setidaknya dua alamat IP pribadi untuk setiap instance dalam suatu pekerjaan. Untuk informasi selengkapnya, lihat [Ukuran VPC dan Subnet di Panduan Pengguna IPv4](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) Amazon *VPC*.
**Buat Endpoint VPC Amazon S3**
Jika Anda mengonfigurasi VPC Anda sehingga wadah pekerjaan tidak memiliki akses ke internet, mereka tidak dapat terhubung ke bucket Amazon S3 yang berisi data Anda kecuali Anda membuat titik akhir VPC yang memungkinkan akses. Dengan membuat titik akhir VPC, Anda mengizinkan wadah pekerjaan mengakses data Anda selama pekerjaan pelatihan dan analisis.
Saat Anda membuat titik akhir VPC, konfigurasikan nilai-nilai ini:
+ Pilih kategori layanan sebagai **AWS Layanan**
+ Tentukan layanan sebagai `com.amazonaws.region.s3`
+ Pilih **Gateway** sebagai tipe Endpoint VPC
Jika Anda menggunakan CloudFormation untuk membuat titik akhir VPC, ikuti dokumentasinya. [CloudFormation VPCEndpoint](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) Contoh berikut menunjukkan **VPCEndpoint**konfigurasi dalam CloudFormation template.
```
VpcEndpoint:
Type: AWS::EC2::VPCEndpoint
Properties:
PolicyDocument:
Version: '2012-10-17 '
Statement:
- Action:
- s3:GetObject
- s3:PutObject
- s3:ListBucket
- s3:GetBucketLocation
- s3:DeleteObject
- s3:ListMultipartUploadParts
- s3:AbortMultipartUpload
Effect: Allow
Resource:
- "*"
Principal: "*"
RouteTableIds:
- Ref: RouteTable
ServiceName:
Fn::Join:
- ''
- - com.amazonaws.
- Ref: AWS::Region
- ".s3"
VpcId:
Ref: VPC
```
Kami menyarankan Anda juga membuat kebijakan khusus yang hanya mengizinkan permintaan dari VPC Anda untuk mengakses bucket S3 Anda. Untuk informasi selengkapnya, lihat [Titik Akhir untuk Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html) di *Panduan Pengguna Amazon VPC*.
Kebijakan berikut memungkinkan akses ke bucket S3. Edit kebijakan ini untuk mengizinkan akses hanya sumber daya yang dibutuhkan pekerjaan Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:DeleteObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": "*"
}
]
}
```
------
Gunakan pengaturan DNS default untuk tabel rute titik akhir Anda, sehingga Amazon URLs S3 standar (misalnya`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`,) teratasi. Jika Anda tidak menggunakan pengaturan DNS default, pastikan URLs bahwa yang Anda gunakan untuk menentukan lokasi data dalam pekerjaan Anda diselesaikan dengan mengonfigurasi tabel rute titik akhir. Untuk informasi tentang tabel rute titik akhir VPC, lihat [Perutean untuk Titik Akhir Gateway di Panduan Pengguna](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-gateway.html#vpc-endpoints-routing) *Amazon* VPC.
Kebijakan endpoint default memungkinkan pengguna untuk menginstal paket dari repositori Amazon Linux dan Amazon Linux 2 di wadah pekerjaan kami. Jika Anda tidak ingin pengguna menginstal paket dari repositori itu, buat kebijakan endpoint khusus yang secara eksplisit menolak akses ke repositori Amazon Linux dan Amazon Linux 2. Comprehend sendiri tidak memerlukan paket seperti itu, jadi tidak akan ada dampak fungsionalitas apa pun. Berikut ini adalah contoh kebijakan yang menolak akses ke repositori ini:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
**Izin untuk `DataAccessRole`**
Ketika Anda menggunakan VPC dengan pekerjaan analisis Anda, yang `DataAccessRole` digunakan untuk `Create*` dan `Start*` operasi juga harus memiliki izin ke VPC dari mana dokumen input dan bucket output diakses.
Kebijakan berikut menyediakan akses yang diperlukan untuk `DataAccessRole` digunakan untuk `Create*` dan `Start*` operasi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
}
]
}
```
------
**Konfigurasikan grup keamanan VPC**
Dengan pekerjaan terdistribusi, Anda harus mengizinkan komunikasi antara wadah pekerjaan yang berbeda dalam pekerjaan yang sama. Untuk melakukan itu, konfigurasikan aturan untuk grup keamanan Anda yang memungkinkan koneksi masuk antara anggota grup keamanan yang sama. Untuk selengkapnya, lihat [Aturan Grup Keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules) di *Panduan Pengguna Amazon VPC*.
**Connect ke sumber daya di luar VPC**
Jika Anda mengonfigurasi VPC Anda sehingga tidak memiliki akses internet, pekerjaan yang menggunakan VPC tersebut tidak memiliki akses ke sumber daya di luar VPC Anda. Jika pekerjaan Anda memerlukan akses ke sumber daya di luar VPC Anda, berikan akses dengan salah satu opsi berikut:
+ Jika pekerjaan Anda memerlukan akses ke AWS layanan yang mendukung titik akhir VPC antarmuka, buat titik akhir untuk terhubung ke layanan tersebut. Untuk daftar layanan yang mendukung titik akhir antarmuka, lihat Titik Akhir [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) di Panduan Pengguna *Amazon VPC*. *Untuk informasi tentang membuat titik akhir VPC antarmuka, lihat Titik Akhir [VPC Antarmuka () di AWS PrivateLink Panduan Pengguna VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) Amazon.*
+ Jika pekerjaan Anda memerlukan akses ke AWS layanan yang tidak mendukung titik akhir VPC antarmuka atau sumber daya di luar AWS, buat gateway NAT dan konfigurasikan grup keamanan Anda untuk mengizinkan koneksi keluar. *Untuk informasi tentang menyiapkan gateway NAT untuk VPC Anda, [lihat Skenario 2: VPC dengan Subnet Publik dan Pribadi (NAT) di](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html) Panduan Pengguna Amazon VPC.*