Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Proteggi i lavori utilizzando un Amazon Virtual Private Cloud
Amazon Comprehend utilizza una serie di misure di sicurezza per garantire la sicurezza dei tuoi dati con i nostri job container in cui vengono archiviati mentre vengono utilizzati da Amazon Comprehend. Tuttavia, i job container accedono a AWS risorse, come i bucket Amazon S3 in cui archiviare dati e modellare artefatti, tramite Internet.
Per controllare l'accesso ai tuoi dati, ti consigliamo di creare un cloud privato virtuale (VPC) e configurarlo in modo che i dati e i contenitori non siano accessibili su Internet. Per informazioni sulla creazione e la configurazione di unVPC, consulta Getting Started With Amazon VPC nella Amazon VPC User Guide. L'uso di a VPC aiuta a proteggere i tuoi dati perché puoi configurarli VPC in modo che non siano connessi a Internet. L'utilizzo di a consente VPC inoltre di monitorare tutto il traffico di rete in entrata e in uscita dai nostri job container utilizzando i log di VPC flusso. Per ulteriori informazioni, consulta VPCFlow Logs nella Amazon VPC User Guide.
Specificate la VPC configurazione quando create un lavoro, specificando le sottoreti e i gruppi di sicurezza. Quando specifichi le sottoreti e i gruppi di sicurezza, Amazon Comprehend crea interfacce di rete elastiche ENIs () associate ai tuoi gruppi di sicurezza in una delle sottoreti. ENIsconsenti ai nostri contenitori di lavoro di connettersi alle risorse del tuo. VPC Per informazioni suENIs, consulta Elastic Network Interfaces nella Amazon VPC User Guide.
Nota
Per quanto riguarda i lavori, puoi configurare solo sottoreti con una tenancy predefinita VPC in cui l'istanza viene eseguita su hardware condiviso. Per ulteriori informazioni sull'attributo tenancy perVPCs, consulta Dedicated Instances nella Amazon EC2 User Guide.
Configura un lavoro per Amazon VPC Access
Per specificare sottoreti e gruppi di sicurezza nel tuoVPC, utilizza il parametro di VpcConfig richiesta applicabile API o fornisci queste informazioni quando crei un lavoro nella console Amazon Comprehend. Amazon Comprehend utilizza queste informazioni per crearle ENIs e allegarle ai nostri contenitori di lavoro. ENIsForniamo ai nostri job container una connessione di rete interna VPC che non sia connessa a Internet.
Quanto segue APIs contiene il parametro VpcConfig di richiesta:
Di seguito è riportato un esempio del VpcConfig parametro che includi nella API chiamata:
"VpcConfig": { "SecurityGroupIds": [ " sg-0123456789abcdef0" ], "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ] }
Per configurare un VPC dalla console Amazon Comprehend, scegli i dettagli di configurazione dalla sezione opzionale VPCImpostazioni durante la creazione del lavoro.
Configura i tuoi VPC lavori per Amazon Comprehend
Durante la configurazione VPC per i tuoi job Amazon Comprehend, utilizza le seguenti linee guida. Per informazioni sulla configurazione di unVPC, consulta Working with VPCs and Subnet nella Amazon VPC User Guide.
Assicurati che le sottoreti abbiano un numero sufficiente di indirizzi IP
Le VPC sottoreti devono avere almeno due indirizzi IP privati per ogni istanza di un job. Per ulteriori informazioni, consulta la sezione VPCdedicata al dimensionamento delle sottoreti IPv4 nella Amazon VPC User Guide.
Crea un endpoint Amazon S3 VPC
Se lo configuri VPC in modo che i job container non abbiano accesso a Internet, non possono connettersi ai bucket Amazon S3 che contengono i tuoi dati a meno che tu non crei un VPC endpoint che consenta l'accesso. Creando un VPC endpoint, consenti ai job container di accedere ai tuoi dati durante i lavori di formazione e analisi.
Quando crei l'VPCendpoint, configura questi valori:
Seleziona la categoria di servizio come AWS Servizi
Specificare il servizio come
com.amazonaws.region.s3Seleziona Gateway come tipo di VPC endpoint
Se lo utilizzi AWS CloudFormation per creare l'VPCendpoint, segui la AWS CloudFormation VPCEndpointdocumentazione. L'esempio seguente mostra la VPCEndpointconfigurazione in un AWS CloudFormation modello.
VpcEndpoint: Type: AWS::EC2::VPCEndpoint Properties: PolicyDocument: Version: '2012-10-17' Statement: - Action: - s3:GetObject - s3:PutObject - s3:ListBucket - s3:GetBucketLocation - s3:DeleteObject - s3:ListMultipartUploadParts - s3:AbortMultipartUpload Effect: Allow Resource: - "*" Principal: "*" RouteTableIds: - Ref: RouteTable ServiceName: Fn::Join: - '' - - com.amazonaws. - Ref: AWS::Region - ".s3" VpcId: Ref: VPC
Ti consigliamo anche di creare una policy personalizzata che consenta solo alle tue richieste di accedere VPC ai tuoi bucket S3. Per ulteriori informazioni, consulta Endpoints for Amazon S3 nella VPCAmazon User Guide.
La policy seguente consente l'accesso ai bucket S3. Modifica questa politica per consentire l'accesso solo alle risorse di cui ha bisogno il tuo lavoro.
{ "Version": "2008-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket", "s3:GetBucketLocation", "s3:DeleteObject", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload" ], "Resource": "*" } ] }
Utilizza DNS le impostazioni predefinite per la tabella di routing degli endpoint, in modo che Amazon URLs S3 standard (ad esempiohttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) si risolva. Se non utilizzi DNS le impostazioni predefinite, assicurati che quelle utilizzate per specificare le URLs posizioni dei dati nei job vengano risolte configurando le tabelle di routing degli endpoint. Per informazioni sulle tabelle di routing VPC degli endpoint, consulta Routing for Gateway Endpoints nella Amazon VPC User Guide.
La policy predefinita per gli endpoint consente agli utenti di installare pacchetti dai repository Amazon Linux e Amazon Linux 2 nel nostro contenitore dei lavori. Per impedire agli utenti di installare pacchetti da quel repository, crea una policy di endpoint personalizzata che nega esplicitamente l'accesso ai repository di Amazon Linux e Amazon Linux 2. Comprehend di per sé non necessita di tali pacchetti, quindi non ci sarà alcun impatto sulla funzionalità. Di seguito è riportato un esempio di policy che nega l'accesso a questi repository:
{ "Statement": [ { "Sid": "AmazonLinuxAMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::packages.*.amazonaws.com/*", "arn:aws:s3:::repo.*.amazonaws.com/*" ] } ] } { "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" ] } ] }
Autorizzazioni per DataAccessRole
Quando si utilizza un processo VPC di analisi, l'utente DataAccessRole utilizzato per le Start* operazioni Create* and deve disporre anche delle autorizzazioni per accedere ai documenti VPC di input e al bucket di output.
La seguente politica fornisce l'accesso necessario all'utente DataAccessRole per le operazioni Create* andStart*.
{ "Version": "2008-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" } ] }
Configurare il gruppo VPC di sicurezza
Con i lavori distribuiti, è necessario consentire la comunicazione tra i diversi contenitori di lavoro nello stesso lavoro. A tale scopo, configura una regola per il gruppo di sicurezza che consente connessioni in entrata tra i membri dello stesso gruppo di sicurezza. Per informazioni, consulta le regole dei gruppi di sicurezza nella Amazon VPC User Guide.
Connect a risorse esterne VPC
Se configuri il tuo VPC in modo che non abbia accesso a Internet, i lavori che lo utilizzano VPC non hanno accesso a risorse esterne alle tueVPC. Se i tuoi lavori richiedono l'accesso a risorse esterne al tuoVPC, fornisci l'accesso con una delle seguenti opzioni:
Se il tuo lavoro richiede l'accesso a un AWS servizio che supporta gli VPC endpoint di interfaccia, crea un endpoint per connetterti a quel servizio. Per un elenco di servizi che supportano gli endpoint di interfaccia, consulta VPCEndpoints nella Amazon VPC User Guide. Per informazioni sulla creazione di un VPC endpoint di interfaccia, consulta Interface VPC Endpoints (AWS PrivateLink) nella Amazon VPC User Guide.
Se il tuo lavoro richiede l'accesso a un AWS servizio che non supporta gli VPC endpoint di interfaccia o a una risorsa esterna AWS, crea un NAT gateway e configura i tuoi gruppi di sicurezza per consentire le connessioni in uscita. Per informazioni sulla configurazione di un NAT gateway per il tuoVPC, consulta Scenario 2: VPC with Public and Private Subnet (NAT) nella Amazon VPC User Guide.
