기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Virtual Private Cloud를 사용한 작업 보호
Amazon Comprehend는 Amazon Comprehend에서 데이터가 저장된 작업 컨테이너를 사용하는 동안 데이터의 안전을 보장하기 위해 다양한 보안 조치를 사용합니다. 하지만 작업 컨테이너는 인터넷을 통해 데이터 및 모델 AWS 아티팩트를 저장하는 Amazon S3 버킷과 같은 리소스에 액세스합니다.
데이터에 대한 액세스를 제어하려면 가상 사설 클라우드 (VPC) 를 만들고 인터넷을 통해 데이터와 컨테이너에 액세스할 수 없도록 구성하는 것이 좋습니다. 생성 및 구성에 대한 자세한 내용은 Amazon VPC사용 설명서의 Amazon VPC 시작하기를 참조하십시오. VPC 를 사용하면 인터넷에 연결되지 않도록 구성할 수 VPC 있으므로 데이터를 보호하는 VPC 데 도움이 됩니다. VPC또한 a를 사용하면 VPC 흐름 로그를 사용하여 작업 컨테이너에서 들어오고 나가는 모든 네트워크 트래픽을 모니터링할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서의 VPC 흐름 로그를 참조하십시오.
작업을 생성할 때 서브넷과 보안 그룹을 지정하여 VPC 구성을 지정합니다. 서브넷과 보안 그룹을 지정하면 Amazon Comprehend는 서브넷 중 하나에 있는 보안 그룹과 연결된 엘라스틱 네트워크 ENIs 인터페이스 () 를 생성합니다. ENIs작업 컨테이너가 사용자의 리소스에 연결되도록 허용하십시오. VPC 에 대한 ENIs 자세한 내용은 Amazon VPC 사용 설명서의 엘라스틱 네트워크 인터페이스를 참조하십시오.
참고
작업의 경우 인스턴스가 공유 하드웨어에서 실행되는 기본 테넌시가 VPC 있는 서브넷만 구성할 수 있습니다. 의 테넌시 속성에 대한 VPCs 자세한 내용은 Amazon EC2 사용 설명서의 전용 인스턴스를 참조하십시오.
Amazon VPC 액세스를 위한 작업 구성
에서 서브넷과 보안 그룹을 지정하려면 해당하는 VpcConfig API 요청 파라미터를 사용하거나 Amazon Comprehend 콘솔에서 작업을 생성할 때 이 정보를 제공하십시오. VPC Amazon Comprehend는 이 정보를 사용하여 작업 컨테이너를 ENIs 생성하고 작업 컨테이너에 연결합니다. 인터넷에 연결되지 VPC 않은 사용자 내부의 네트워크 연결을 통해 작업 컨테이너를 ENIs 제공합니다.
다음은 VpcConfig 요청 파라미터를 APIs 포함합니다.
다음은 API 호출에 포함하는 VpcConfig 파라미터의 예시입니다.
"VpcConfig": { "SecurityGroupIds": [ " sg-0123456789abcdef0" ], "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ] }
Amazon Comprehend VPC 콘솔에서 구성하려면 작업을 생성할 때 VPC선택적 설정 섹션에서 구성 세부 정보를 선택하십시오.
Amazon VPC Comprehend 작업에 맞게 구성하세요
Amazon Comprehend 작업을 구성할 때는 다음 지침을 사용하십시오. VPC 설정에 대한 자세한 내용은 Amazon VPC 사용 설명서의 서브넷 사용 VPCs및 서브넷 사용을 참조하십시오. VPC
서브넷에 충분한 IP 주소를 확보해야 합니다
VPC서브넷에는 작업의 각 인스턴스에 대해 최소 두 개의 사설 IP 주소가 있어야 합니다. 자세한 내용은 Amazon VPC 사용 설명서의 서브넷 크기 조정을 참조하십시오VPC. IPv4
Amazon S3 VPC 엔드포인트 생성
작업 컨테이너가 인터넷에 액세스할 수 VPC 없도록 구성하면 액세스를 허용하는 VPC 엔드포인트를 생성하지 않는 한 작업 컨테이너를 데이터가 포함된 Amazon S3 버킷에 연결할 수 없습니다. VPC엔드포인트를 생성하면 교육 및 분석 작업 중에 작업 컨테이너가 데이터에 액세스할 수 있습니다.
VPC엔드포인트를 생성할 때 다음 값을 구성하십시오.
서비스 범주를 AWS 서비스로 선택합니다.
서비스를 다음과 같이 지정합니다.
com.amazonaws.region.s3VPC엔드포인트 유형으로 게이트웨이를 선택합니다.
를 AWS CloudFormation 사용하여 VPC 엔드포인트를 생성하는 경우 AWS CloudFormation VPCEndpoint설명서를 따르십시오. 다음 예제는 AWS CloudFormation 템플릿의 VPCEndpoint구성을 보여줍니다.
VpcEndpoint: Type: AWS::EC2::VPCEndpoint Properties: PolicyDocument: Version: '2012-10-17' Statement: - Action: - s3:GetObject - s3:PutObject - s3:ListBucket - s3:GetBucketLocation - s3:DeleteObject - s3:ListMultipartUploadParts - s3:AbortMultipartUpload Effect: Allow Resource: - "*" Principal: "*" RouteTableIds: - Ref: RouteTable ServiceName: Fn::Join: - '' - - com.amazonaws. - Ref: AWS::Region - ".s3" VpcId: Ref: VPC
사용자의 VPC 요청만 S3 버킷에 액세스할 수 있도록 허용하는 사용자 지정 정책도 생성하는 것이 좋습니다. 자세한 내용은 Amazon VPC사용 설명서의 Amazon S3용 엔드포인트를 참조하십시오.
다음 정책은 S3 버킷 액세스를 허용합니다. 작업에 필요한 리소스에만 액세스할 수 있도록 이 정책을 편집하십시오.
{ "Version": "2008-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket", "s3:GetBucketLocation", "s3:DeleteObject", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload" ], "Resource": "*" } ] }
엔드포인트 라우팅 테이블의 기본 DNS 설정을 사용하여 표준 Amazon S3 URLs (예:http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) 가 문제를 해결하도록 하십시오. 기본 DNS 설정을 사용하지 않는 경우, 엔드포인트 라우팅 테이블을 구성하여 작업에서 데이터 위치를 지정하는 데 사용하는 문제가 해결되는지 확인하십시오. URLs VPC엔드포인트 라우팅 테이블에 대한 자세한 내용은 Amazon VPC 사용 설명서의 게이트웨이 엔드포인트 라우팅을 참조하십시오.
기본 엔드포인트 정책은 사용자가 당사 작업 컨테이너에 있는 Amazon Linux 및 Amazon Linux 2에서 패키지를 설치하도록 허용합니다. 사용자가 해당 리포지토리의 패키지를 설치하지 않도록 하려면 Amazon Linux 및 Amazon Linux 2 리포지토리에 대한 액세스를 명시적으로 거부하는 사용자 지정 엔드포인트 정책을 생성합니다. Comprehend 자체에는 이러한 패키지가 필요하지 않으므로 기능에 영향을 미치지 않습니다. 다음은 이러한 리포지토리에 대한 액세스를 거부하는 정책의 예입니다.
{ "Statement": [ { "Sid": "AmazonLinuxAMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::packages.*.amazonaws.com/*", "arn:aws:s3:::repo.*.amazonaws.com/*" ] } ] } { "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" ] } ] }
DataAccessRole에 대한 권한
분석 VPC 작업과 함께 사용하는 경우 Create* 및 Start* 작업에 DataAccessRole 사용되는 사용자에게도 입력 문서 및 출력 버킷에 액세스할 수 있는 권한이 있어야 합니다. VPC
다음 정책은 Create* 및 Start* 작업에 사용되는 DataAccessRole에게 필요한 액세스를 제공합니다.
{ "Version": "2008-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" } ] }
VPC보안 그룹을 구성합니다.
분산형 작업에서 동일한 작업의 다른 컨테이너 사이의 통신을 허용해야 합니다. 이렇게 하려면 동일한 보안 그룹의 멤버 간의 인바운드 연결을 허용하는 보안 그룹 규칙을 구성합니다. 자세한 내용은 Amazon VPC 사용 설명서의 보안 그룹 규칙을 참조하십시오.
외부 리소스에 연결 VPC
인터넷에 액세스할 수 VPC 없도록 구성한 경우 해당 작업을 사용하는 작업은 외부 리소스에 액세스할 수 없습니다VPC. VPC 작업에서 외부 리소스에 액세스해야 하는 경우 다음 옵션 중 하나를 사용하여 액세스를 제공하십시오. VPC
작업에 인터페이스 VPC 엔드포인트를 지원하는 AWS 서비스에 대한 액세스가 필요한 경우 해당 서비스에 연결할 엔드포인트를 생성하세요. 인터페이스 엔드포인트를 지원하는 서비스 목록은 Amazon VPC 사용 설명서의 VPC 엔드포인트를 참조하십시오. 인터페이스 VPC 엔드포인트 생성에 대한 자세한 내용은 Amazon VPC 사용 설명서의 인터페이스 VPC 엔드포인트 (AWS PrivateLink) 를 참조하십시오.
작업에 인터페이스 VPC 엔드포인트를 지원하지 않는 AWS 서비스 또는 외부 리소스에 대한 액세스가 필요한 경우 AWS, NAT 게이트웨이를 생성하고 아웃바운드 연결을 허용하도록 보안 그룹을 구성하십시오. NAT게이트웨이를 설정하는 방법에 대한 자세한 내용은 Amazon 사용 VPC 설명서의 시나리오 2: VPC 퍼블릭 및 프라이빗 서브넷 VPC 사용 (NAT) 을 참조하십시오.
