Crea una forza lavoro con una configurazione VPC Aggiungere una configurazione VPC alla tua forza lavoro Rimozione di una configurazione VPC dalla tua forza lavoro Limita l'accesso pubblico al portale dei worker mantenendo l'accesso tramite un VPC

Utilizzo dell' SageMaker AWS API per gestire una configurazione VPC

Utilizza le seguenti sezioni per saperne di più sulla gestione di una configurazione VPC, mantenendo al contempo il giusto livello di accesso al team di lavoro.

Crea una forza lavoro con una configurazione VPC

Se l'account ha già una forza lavoro, devi prima eliminarlo. Puoi anche aggiornare la forza lavoro con la configurazione VPC.



aws sagemaker create-workforce --cognito-config '{"ClientId": "app-client-id","UserPool": "Pool_ID",}' --workforce-vpc-config \       
" {\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}" --workforce-name workforce-name
{
    "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name"
}

Descrivi la forza lavoro e assicurati che lo stato sia Initializing.



aws sagemaker describe-workforce --workforce-name workforce-name
{
    "Workforce": {
        "WorkforceName": "workforce-name",
        "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
        "LastUpdatedDate": 1622151252.451,
        "SourceIpConfig": {
            "Cidrs": []
        },
        "SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
        "CognitoConfig": {
            "UserPool": "Pool_ID",
            "ClientId": "app-client-id"
        },
        "CreateDate": 1622151252.451,
        "WorkforceVpcConfig": {
            "VpcId": "vpc-id",
            "SecurityGroupIds": [
                "sg-0123456789abcdef0"
            ],
            "Subnets": [
                "subnet-0123456789abcdef0"
            ]
        },
        "Status": "Initializing"
    }
}

Passa alla console di Amazon VPC. Seleziona Endpoint dal pannello di sinistra. Nel tuo account dovrebbero essere creati due endpoint VPC.

Aggiungere una configurazione VPC alla tua forza lavoro

Aggiorna una forza lavoro privata non VPC con una configurazione VPC utilizzando il seguente comando.



aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}"

Descrivi la forza lavoro e assicurati che lo stato sia Updating.



aws sagemaker describe-workforce --workforce-name workforce-name
{
    "Workforce": {
        "WorkforceName": "workforce-name",
        "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
        "LastUpdatedDate": 1622151252.451,
        "SourceIpConfig": {
            "Cidrs": []
        },
        "SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
        "CognitoConfig": {
            "UserPool": "Pool_ID",
            "ClientId": "app-client-id"
        },
        "CreateDate": 1622151252.451,
        "WorkforceVpcConfig": {
            "VpcId": "vpc-id",
            "SecurityGroupIds": [
                "sg-0123456789abcdef0"
            ],
            "Subnets": [
                "subnet-0123456789abcdef0"
            ]
        },
        "Status": "Updating"
    }
}

Passa alla console di Amazon VPC. Seleziona Endpoint dal pannello di sinistra. Nel tuo account dovrebbero essere creati due endpoint VPC.

Rimozione di una configurazione VPC dalla tua forza lavoro

Aggiorna una forza lavoro privata VPC con una configurazione VPC vuota per rimuovere le risorse VPC.



aws sagemaker update-workforce --workforce-name workforce-name\ 
--workforce-vpc-config "{}"

Descrivi la forza lavoro e assicurati che lo stato sia Updating.



aws sagemaker describe-workforce --workforce-name workforce-name
{
    "Workforce": {
        "WorkforceName": "workforce-name",
        "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
        "LastUpdatedDate": 1622151252.451,
        "SourceIpConfig": {
            "Cidrs": []
        },
        "SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
        "CognitoConfig": {
            "UserPool": "Pool_ID",
            "ClientId": "app-client-id"
        },
        "CreateDate": 1622151252.451,
        "Status": "Updating"
    }
}

Passa alla console Amazon VPC. Seleziona Endpoint dal pannello di sinistra. I due endpoint VPC devono essere eliminati.

Limita l'accesso pubblico al portale dei worker mantenendo l'accesso tramite un VPC

I worker in un portale di lavoro VPC o non VPC possono vedere le attività lavorative di etichettatura a loro assegnate. L'incarico deriva dall'assegnazione dei worker di un gruppo di lavoro tramite gruppi OIDC. È responsabilità del cliente limitare l'accesso al proprio portale pubblico per i worker impostando sourceIpConfig nella propria forza lavoro.

Nota

Puoi limitare l'accesso al portale dei lavoratori solo tramite l' SageMaker API. Questa operazione non può essere eseguita tramite la console.

Per limitare l'accesso pubblico al portale di lavoro, utilizza il seguente comando:



aws sagemaker update-workforce --region us-west-2 \
--workforce-name workforce-demo --source-ip-config '{"Cidrs":["10.0.0.0/16"]}'

Dopo aver impostato sourceIpConfig nella forza lavoro, i worker possono accedere al portale dei worker in VPC ma non tramite Internet pubblico.

Nota

Non è possibile impostare la restrizione sourceIP per il portale di lavoro in VPC.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo della SageMaker console per gestire una configurazione VPC

Crittografia dei dati