Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Trabalhos de proteção usando uma nuvem privada virtual da Amazon

PDF
RSS
Modo de foco
Trabalhos de proteção usando uma nuvem privada virtual da Amazon - Amazon Comprehend
Configurar um trabalho para acesso ao Amazon VPC Configurar a VPC para trabalhos do Amazon Comprehend

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O Amazon Comprehend usa uma variedade de medidas de segurança para garantir a segurança de seus dados com nossos contêineres de trabalho, onde eles são armazenados enquanto são usados pelo Amazon Comprehend. No entanto, os contêineres de trabalho acessam AWS recursos, como os buckets do Amazon S3, onde você armazena dados e artefatos de modelo, pela Internet.

Para controlar o acesso aos seus dados, recomendamos a criação de uma nuvem privada virtual (VPC) e a sua configuração para que os dados e os contêineres não sejam acessíveis pela internet. Para obter informações sobre como criar e configurar uma VPC, consulte Conceitos básicos da Amazon VPC no Guia do usuário da Amazon VPC. Usando uma VPC ajuda a proteger seus dados, pois é possível configurá-la para não se conectar à internet. Usar uma VPC também permite monitorar todo o tráfego de rede de entrada e saída de seus contêineres de trabalho, com os logs de fluxo da VPC. Para obter mais informações, consulte Logs de fluxo da VPC no Guia do usuário do Amazon Virtual Private Cloud.

Especifique a configuração de sua VPC ao criar um trabalho. Basta especificar as sub-redes e grupos de segurança. Quando você especifica as sub-redes e os grupos de segurança, o Amazon Comprehend cria interfaces de rede elásticas ENIs () associadas aos seus grupos de segurança em uma das sub-redes. ENIs permita que nossos contêineres de trabalho se conectem aos recursos em sua VPC. Para obter informações sobre isso ENIs, consulte Elastic Network Interfaces no Guia do usuário da Amazon VPC.

nota

Para trabalhos, você pode configurar apenas sub-redes com uma VPC de locação padrão em que sua instância é executada em hardware compartilhado. Para obter mais informações sobre o atributo de locação para VPCs, consulte Instâncias dedicadas no Guia do EC2 usuário da Amazon.

Configurar um trabalho para acesso ao Amazon VPC

Para especificar sub-redes e grupos de segurança na VPC, use o parâmetro da solicitação VpcConfig da API aplicável ou forneça essas informações ao criar um trabalho no console do Amazon Comprehend. O Amazon Comprehend usa essas informações para ENIs criá-las e anexá-las aos nossos contêineres de trabalho. Eles ENIs fornecem aos nossos contêineres de trabalho uma conexão de rede em sua VPC que não está conectada à Internet.

O seguinte APIs contém o parâmetro de VpcConfig solicitação:

Veja a seguir um exemplo do VpcConfig parâmetro que você inclui na sua chamada de API: 

"VpcConfig": { 
      "SecurityGroupIds": [
          " sg-0123456789abcdef0"
          ],
      "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
          ]
      }

Para configurar uma VPC a partir do console do Amazon Comprehend, escolha os detalhes de configuração na seção opcional Configurações da VPC ao criar o trabalho.

Seção de VPC opcional em Criar um trabalho de análise

Configurar a VPC para trabalhos do Amazon Comprehend

Ao configurar a VPC para os seus trabalhos de treinamento do Amazon Comprehend, use as diretrizes a seguir. Para obter informações sobre como configurar uma VPC, consulte Trabalho com VPCs e sub-redes no Guia do usuário da Amazon VPC.

Garanta que as sub-redes tenham endereços IP suficientes

Suas sub-redes da VPC devem ter pelo menos dois endereços IP privados para cada instância em um trabalho. Para obter mais informações, consulte Dimensionamento de VPC e sub-rede no Guia do usuário IPv4 da Amazon VPC.

Crie um endpoint da VPC do Amazon S3

Se você configurar sua VPC para que os contêineres de trabalho não tenham acesso à internet, eles não poderão se conectar aos buckets do Amazon S3 que contêm os dados, a menos que você crie um endpoint da VPC que permita o acesso. Ao criar um VPC endpoint, você permite que os contêineres de trabalho acessem seus dados durante os trabalhos de treinamento e análise.

Ao criar o VPC endpoint, configure estes valores:

  • Selecione a categoria de serviço como AWS Serviços

  • Especifique o serviço como com.amazonaws.region.s3

  • Selecione Gateway como o tipo de VPC Endpoint

Se você estiver usando AWS CloudFormation para criar o VPC endpoint, siga a documentação. AWS CloudFormation VPCEndpoint O exemplo a seguir mostra a VPCEndpointconfiguração em um AWS CloudFormation modelo.


  VpcEndpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      PolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Action:
              - s3:GetObject
              - s3:PutObject
              - s3:ListBucket
              - s3:GetBucketLocation
              - s3:DeleteObject
              - s3:ListMultipartUploadParts
              - s3:AbortMultipartUpload
            Effect: Allow
            Resource:
              - "*"
            Principal: "*"
      RouteTableIds:
        - Ref: RouteTable
      ServiceName:
        Fn::Join:
          - ''
          - - com.amazonaws.
            - Ref: AWS::Region
            - ".s3"
      VpcId:
        Ref: VPC

Recomendamos que você também crie uma política personalizada para que apenas solicitações da sua VPC acessem os buckets do S3. Para obter mais informações, consulte Endpoints para o Amazon S3 no Manual do usuário da Amazon VPC.

A política a seguir permite acesso aos buckets do S3. Edite essa política para que esse acesso seja permitido somente para os recursos de que seu trabalho precisa. 

{
    "Version": "2008-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:DeleteObject",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload"
            ],
            "Resource": "*"
        }
    ]
}

Use as configurações de DNS padrão para sua tabela de rotas de endpoints, para que o Amazon URLs S3 padrão (por exemplohttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket,) resolva. Se você não usar as configurações de DNS padrão, certifique-se de que as URLs que você usa para especificar os locais dos dados em seus trabalhos sejam resolvidas configurando as tabelas de rotas do endpoint. Para obter informações sobre as tabelas de rotas de endpoints da VPC, consulte Roteamento para endpoints de gateway no Guia do usuário da Amazon VPC.

A política de endpoint padrão permite que os usuários instalem pacotes dos repositórios do Amazon Linux e do Amazon Linux 2 em nosso contêiner de trabalhos. Se você não deseja que os usuários instalem pacotes, crie uma política de endpoint personalizada que negue explicitamente o acesso a esses repositórios. O Comprehend em si não precisa de nenhum desses pacotes, portanto, não haverá nenhum impacto na funcionalidade. Veja a seguir um exemplo de política que nega acesso somente a esses repositórios: 

{ 
    "Statement": [ 
      { 
        "Sid": "AmazonLinuxAMIRepositoryAccess",
        "Principal": "*",
        "Action": [ 
            "s3:GetObject" 
        ],
        "Effect": "Deny",
        "Resource": [
            "arn:aws:s3:::packages.*.amazonaws.com/*",
            "arn:aws:s3:::repo.*.amazonaws.com/*"
        ] 
      } 
    ] 
} 

{ 
    "Statement": [ 
        { "Sid": "AmazonLinux2AMIRepositoryAccess",
          "Principal": "*",
          "Action": [ 
              "s3:GetObject" 
              ],
          "Effect": "Deny",
          "Resource": [
              "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" 
              ] 
         } 
    ] 
}

Permissões para a DataAccessRole

Quando você usa uma VPC com trabalho de análise, a DataAccessRole usado para as operações Create* e Start* também deve ter permissões para a VPC a partir da qual os documentos de entrada e o bucket de saída são acessados.

A política a seguir fornece o acesso necessário à DataAccessRole usada para nas operações Create* e Start*. 

{
    "Version": "2008-10-17",
    "Statement": [
        {
            "Effect": "Allow",
              "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        }
    ]
}

Configuração do grupo de segurança da VPC

Com os trabalhos distribuídos, é necessário permitir a comunicação entre os diferentes contêineres de trabalho no mesmo trabalho. Para fazer isso, configure uma regra para seu grupo de segurança que permita conexões de entrada entre membros do mesmo grupo de segurança. Para obter informações, consulte Regras de grupos de segurança no Guia do usuário da Amazon VPC.

Conecte-se a recursos fora de sua VPC

Se você configurar a VPC para que não tenha acesso à internet, os trabalhos que a utilizam não terão acesso a recursos externos. Se os seus trabalhos precisarem acessar recursos fora da VPC, conceda o acesso com uma das seguintes opções:

  • Se seu trabalho precisar acessar um AWS serviço que ofereça suporte a endpoints VPC de interface, crie um endpoint para se conectar a esse serviço. Para obter uma lista dos serviços compatíveis com endpoints de interface, consulte Endpoint de VPCs no Guia do usuário da Amazon VPC. Para obter informações sobre a criação de uma interface VPC endpoint, consulte Interface VPC Endpoints () no Guia do usuário AWS PrivateLink da Amazon VPC.

  • Se seu trabalho precisar acessar um AWS serviço que não ofereça suporte a endpoints VPC de interface ou a um recurso externo AWS, crie um gateway NAT e configure seus grupos de segurança para permitir conexões de saída. Para obter informações sobre como configurar um gateway NAT para sua VPC, consulte Cenário 2: VPC com sub-redes pública e privada (NAT) no Guia do usuário da Amazon VPC.

Nesta página

Related resources

Amazon Comprehend Referência da API
AWS CLI comandos para Amazon Comprehend
SDKs e ferramentas 

Related resources

Amazon Comprehend Referência da API
AWS CLI comandos para Amazon Comprehend
SDKs e ferramentas 
PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.