As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Trabalhos de proteção usando uma nuvem privada virtual da Amazon
O Amazon Comprehend usa uma variedade de medidas de segurança para garantir a segurança de seus dados com nossos contêineres de trabalho, onde eles são armazenados enquanto são usados pelo Amazon Comprehend. No entanto, os contêineres de trabalho acessam AWS recursos, como os buckets do Amazon S3, onde você armazena dados e artefatos de modelo, pela Internet.
Para controlar o acesso aos seus dados, recomendamos que você crie uma nuvem privada virtual (VPC) e a configure para que os dados e os contêineres não sejam acessíveis pela Internet. Para obter informações sobre como criar e configurar umVPC, consulte Getting Started with Amazon VPC no Guia do VPC usuário da Amazon. Usar um VPC ajuda a proteger seus dados, pois você pode configurá-los VPC para que não estejam conectados à Internet. O uso de um VPC também permite monitorar todo o tráfego de rede que entra e sai de nossos contêineres de trabalho usando registros de VPC fluxo. Para obter mais informações, consulte Logs de VPC fluxo no Guia VPC do usuário da Amazon.
Você especifica sua VPC configuração ao criar um trabalho, especificando as sub-redes e os grupos de segurança. Quando você especifica as sub-redes e os grupos de segurança, o Amazon Comprehend cria interfaces de rede elásticas ENIs () associadas aos seus grupos de segurança em uma das sub-redes. ENIspermita que nossos contêineres de trabalho se conectem aos recursos em seuVPC. Para obter informações sobre issoENIs, consulte Elastic Network Interfaces no Amazon VPC User Guide.
nota
Para trabalhos, você só pode configurar sub-redes com uma locação padrão VPC na qual sua instância é executada em hardware compartilhado. Para obter mais informações sobre o atributo de locação paraVPCs, consulte Instâncias dedicadas no Guia do EC2 usuário da Amazon.
Configurar um trabalho para VPC acesso à Amazon
Para especificar sub-redes e grupos de segurança em suaVPC, use o parâmetro de VpcConfig solicitação aplicável API ou forneça essas informações ao criar um trabalho no console do Amazon Comprehend. O Amazon Comprehend usa essas informações para ENIs criá-las e anexá-las aos nossos contêineres de trabalho. Eles ENIs fornecem aos nossos contêineres de trabalho uma conexão de rede dentro da sua VPC que não está conectada à Internet.
O seguinte APIs contém o parâmetro de VpcConfig solicitação:
Veja a seguir um exemplo do VpcConfig parâmetro que você inclui na sua API chamada:
"VpcConfig": { "SecurityGroupIds": [ " sg-0123456789abcdef0" ], "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ] }
Para configurar um a VPC partir do console do Amazon Comprehend, escolha os detalhes da configuração na seção VPCopcional Configurações ao criar o trabalho.
Configure suas tarefas VPC para o Amazon Comprehend
Ao configurar o VPC para seus trabalhos do Amazon Comprehend, use as diretrizes a seguir. Para obter informações sobre como configurar umVPC, consulte Trabalho com VPCs sub-redes no Guia VPCdo usuário da Amazon.
Garanta que as sub-redes tenham endereços IP suficientes
Suas VPC sub-redes devem ter pelo menos dois endereços IP privados para cada instância em um trabalho. Para obter mais informações, consulte VPCe Dimensionamento de sub-rede IPv4 no Guia VPC do usuário da Amazon.
Crie um endpoint Amazon S3 VPC
Se você configurar o seu VPC para que os contêineres de trabalho não tenham acesso à Internet, eles não poderão se conectar aos buckets do Amazon S3 que contêm seus dados, a menos que você crie um VPC endpoint que permita o acesso. Ao criar um VPC endpoint, você permite que os contêineres de trabalho acessem seus dados durante os trabalhos de treinamento e análise.
Ao criar o VPC endpoint, configure estes valores:
Selecione a categoria de serviço como AWS Serviços
Especifique o serviço como
com.amazonaws.region.s3Selecione Gateway como o tipo VPC de endpoint
Se você estiver usando AWS CloudFormation para criar o VPC endpoint, siga a AWS CloudFormation VPCEndpointdocumentação. O exemplo a seguir mostra a VPCEndpointconfiguração em um AWS CloudFormation modelo.
VpcEndpoint: Type: AWS::EC2::VPCEndpoint Properties: PolicyDocument: Version: '2012-10-17' Statement: - Action: - s3:GetObject - s3:PutObject - s3:ListBucket - s3:GetBucketLocation - s3:DeleteObject - s3:ListMultipartUploadParts - s3:AbortMultipartUpload Effect: Allow Resource: - "*" Principal: "*" RouteTableIds: - Ref: RouteTable ServiceName: Fn::Join: - '' - - com.amazonaws. - Ref: AWS::Region - ".s3" VpcId: Ref: VPC
Recomendamos que você também crie uma política personalizada que permita que somente solicitações suas VPC acessem seus buckets do S3. Para obter mais informações, consulte Endpoints para Amazon S3 no Guia do usuário da VPCAmazon.
A política a seguir permite acesso aos buckets do S3. Edite essa política para que esse acesso seja permitido somente para os recursos de que seu trabalho precisa.
{ "Version": "2008-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket", "s3:GetBucketLocation", "s3:DeleteObject", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload" ], "Resource": "*" } ] }
Use DNS as configurações padrão para sua tabela de rotas de endpoints, para que o Amazon URLs S3 padrão (por exemplohttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket,) resolva. Se você não usar DNS as configurações padrão, certifique-se de URLs que as usadas para especificar os locais dos dados em seus trabalhos sejam resolvidas configurando as tabelas de rotas do endpoint. Para obter informações sobre tabelas de rotas de VPC endpoints, consulte Roteamento para endpoints de gateway no Guia do usuário da Amazon VPC.
A política de endpoint padrão permite que os usuários instalem pacotes dos repositórios do Amazon Linux e do Amazon Linux 2 em nosso contêiner de trabalhos. Se você não deseja que os usuários instalem pacotes, crie uma política de endpoint personalizada que negue explicitamente o acesso a esses repositórios. O Comprehend em si não precisa de nenhum desses pacotes, portanto, não haverá nenhum impacto na funcionalidade. Veja a seguir um exemplo de política que nega acesso somente a esses repositórios:
{ "Statement": [ { "Sid": "AmazonLinuxAMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::packages.*.amazonaws.com/*", "arn:aws:s3:::repo.*.amazonaws.com/*" ] } ] } { "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" ] } ] }
Permissões para a DataAccessRole
Quando você usa um VPC com seu trabalho de análise, o DataAccessRole usuário para as Start* operações Create* e também deve ter permissões sobre a VPC partir da qual os documentos de entrada e o bucket de saída são acessados.
A política a seguir fornece o acesso necessário à DataAccessRole usada para nas operações Create* e Start*.
{ "Version": "2008-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" } ] }
Configurar o grupo VPC de segurança
Com os trabalhos distribuídos, é necessário permitir a comunicação entre os diferentes contêineres de trabalho no mesmo trabalho. Para fazer isso, configure uma regra para seu grupo de segurança que permita conexões de entrada entre membros do mesmo grupo de segurança. Para obter informações, consulte Security Group Rules no Amazon VPC User Guide.
Conecte-se a recursos fora do seu VPC
Se você configurar seu VPC para que ele não tenha acesso à Internet, os trabalhos que o uso VPC não terão acesso a recursos fora do seuVPC. Se seus trabalhos precisarem de acesso a recursos externos aos seusVPC, forneça acesso com uma das seguintes opções:
Se seu trabalho precisar acessar um AWS serviço que ofereça suporte a VPC endpoints de interface, crie um endpoint para se conectar a esse serviço. Para obter uma lista de serviços que oferecem suporte a endpoints de interface, consulte VPCEndpoints no Guia VPCdo usuário da Amazon. Para obter informações sobre a criação de um VPC endpoint de interface, consulte Interface VPC Endpoints (AWS PrivateLink) no Guia VPCdo usuário da Amazon.
Se seu trabalho precisar acessar um AWS serviço que não ofereça suporte a VPC endpoints de interface ou a um recurso externo AWS, crie um NAT gateway e configure seus grupos de segurança para permitir conexões de saída. Para obter informações sobre como configurar um NAT gateway para vocêVPC, consulte Cenário 2: VPC com sub-redes públicas e privadas (NAT) no Guia VPC do usuário da Amazon.
