As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Trabalhos de proteção usando uma nuvem privada virtual da Amazon
O Amazon Comprehend usa uma variedade de medidas de segurança para garantir a segurança de seus dados com nossos contêineres de trabalho, onde eles são armazenados enquanto são usados pelo Amazon Comprehend. No entanto, os contêineres de trabalho acessam AWS recursos, como os buckets do Amazon S3, onde você armazena dados e artefatos de modelo, pela Internet.
Para controlar o acesso aos seus dados, recomendamos a criação de uma *nuvem privada virtual* (VPC) e a sua configuração para que os dados e os contêineres não sejam acessíveis pela internet. Para obter informações sobre como criar e configurar uma VPC, consulte [Conceitos básicos da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/getting-started-ipv4.html) no *Guia do usuário da Amazon VPC*. Usando uma VPC ajuda a proteger seus dados, pois é possível configurá-la para não se conectar à internet. Usar uma VPC também permite monitorar todo o tráfego de rede de entrada e saída de seus contêineres de trabalho, com os logs de fluxo da VPC. Para obter mais informações, consulte [Logs de fluxo da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) no *Guia do usuário do Amazon Virtual Private Cloud*.
Especifique a configuração de sua VPC ao criar um trabalho. Basta especificar as sub-redes e grupos de segurança. Quando você especifica as sub-redes e os grupos de segurança, o Amazon Comprehend *cria interfaces de rede elásticas* ENIs () associadas aos seus grupos de segurança em uma das sub-redes. ENIs permita que nossos contêineres de trabalho se conectem aos recursos em sua VPC. Para obter informações sobre isso ENIs, consulte [Elastic Network Interfaces](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) no Guia do *usuário da Amazon VPC*.
**nota**
Para trabalhos, você pode configurar apenas sub-redes com uma VPC de locação padrão em que sua instância é executada em hardware compartilhado. Para obter mais informações sobre o atributo de locação para VPCs, consulte [Instâncias dedicadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) no Guia do usuário do *Amazon EC2*.
## Configurar um trabalho para acesso ao Amazon VPC
Para especificar sub-redes e grupos de segurança na VPC, use o parâmetro da solicitação `VpcConfig` da API aplicável ou forneça essas informações ao criar um trabalho no console do Amazon Comprehend. O Amazon Comprehend usa essas informações para ENIs criá-las e anexá-las aos nossos contêineres de trabalho. Eles ENIs fornecem aos nossos contêineres de trabalho uma conexão de rede em sua VPC que não está conectada à Internet.
O seguinte APIs contém o parâmetro de `VpcConfig` solicitação:
+ `Create*` APIs: ` [CreateDocumentClassifier](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateDocumentClassifier.html)`, ` [CreateEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateEntityRecognizer.html) `
+ `Start*` APIs: ` [StartDocumentClassificationJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartDocumentClassificationJob.html)`, ` [StartDominantLanguageDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartDominantLanguageDetectionJob.html)`, ` [StartEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartEntitiesDetectionJob.html)`, ` [StartKeyPhrasesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartKeyPhrasesDetectionJob.html)`, ` [StartSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartSentimentDetectionJob.html)`, ` [StartTargetedSentimentDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartTargetedSentimentDetectionJob.html)`, ` [StartTopicsDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartTopicsDetectionJob.html)`
Veja a seguir um exemplo do VpcConfig parâmetro que você inclui na sua chamada de API:
```
"VpcConfig": {
"SecurityGroupIds": [
" sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
]
}
```
Para configurar uma VPC a partir do console do Amazon Comprehend, escolha os detalhes de configuração na seção opcional **Configurações da VPC** ao criar o trabalho.
![\[Seção de VPC opcional em Criar um trabalho de análise\]](http://docs.aws.amazon.com/pt_br/comprehend/latest/dg/images/vpc-image-10.png)
## Configurar a VPC para trabalhos do Amazon Comprehend
Ao configurar a VPC para os seus trabalhos de treinamento do Amazon Comprehend, use as diretrizes a seguir. Para obter informações sobre como configurar uma VPC, consulte [Trabalho com VPCs e sub-redes no](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html) Guia do usuário da Amazon *VPC*.
**Garanta que as sub-redes tenham endereços IP suficientes**
Suas sub-redes da VPC devem ter pelo menos dois endereços IP privados para cada instância em um trabalho. Para obter mais informações, consulte [Dimensionamento de VPC e sub-rede no](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) Guia do usuário IPv4 da Amazon *VPC*.
**Crie um endpoint da VPC do Amazon S3 **
Se você configurar sua VPC para que os contêineres de trabalho não tenham acesso à internet, eles não poderão se conectar aos buckets do Amazon S3 que contêm os dados, a menos que você crie um endpoint da VPC que permita o acesso. Ao criar um VPC endpoint, você permite que os contêineres de trabalho acessem seus dados durante os trabalhos de treinamento e análise.
Ao criar o VPC endpoint, configure estes valores:
+ Selecione a categoria de serviço como **AWS Serviços**
+ Especifique o serviço como `com.amazonaws.region.s3`
+ Selecione **Gateway** como o tipo de VPC Endpoint
Se você estiver usando CloudFormation para criar o VPC endpoint, siga a documentação. [CloudFormation VPCEndpoint](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) O exemplo a seguir mostra a **VPCEndpoint**configuração em um CloudFormation modelo.
```
VpcEndpoint:
Type: AWS::EC2::VPCEndpoint
Properties:
PolicyDocument:
Version: '2012-10-17 '
Statement:
- Action:
- s3:GetObject
- s3:PutObject
- s3:ListBucket
- s3:GetBucketLocation
- s3:DeleteObject
- s3:ListMultipartUploadParts
- s3:AbortMultipartUpload
Effect: Allow
Resource:
- "*"
Principal: "*"
RouteTableIds:
- Ref: RouteTable
ServiceName:
Fn::Join:
- ''
- - com.amazonaws.
- Ref: AWS::Region
- ".s3"
VpcId:
Ref: VPC
```
Recomendamos que você também crie uma política personalizada para que apenas solicitações da sua VPC acessem os buckets do S3. Para obter mais informações, consulte [Endpoints para o Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html) no *Manual do usuário da Amazon VPC*.
A política a seguir permite acesso aos buckets do S3. Edite essa política para que esse acesso seja permitido somente para os recursos de que seu trabalho precisa.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:DeleteObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": "*"
}
]
}
```
------
Use as configurações de DNS padrão para sua tabela de rotas de endpoints, para que o Amazon URLs S3 padrão (por exemplo`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`,) resolva. Se você não usar as configurações de DNS padrão, certifique-se de que as URLs que você usa para especificar os locais dos dados em seus trabalhos sejam resolvidas configurando as tabelas de rotas do endpoint. Para obter informações sobre as tabelas de rotas de endpoints da VPC, consulte [Roteamento para endpoints de gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-gateway.html#vpc-endpoints-routing) no *Guia do usuário da Amazon VPC*.
A política de endpoint padrão permite que os usuários instalem pacotes dos repositórios do Amazon Linux e do Amazon Linux 2 em nosso contêiner de trabalhos. Se você não deseja que os usuários instalem pacotes, crie uma política de endpoint personalizada que negue explicitamente o acesso a esses repositórios. O Comprehend em si não precisa de nenhum desses pacotes, portanto, não haverá nenhum impacto na funcionalidade. Veja a seguir um exemplo de política que nega acesso somente a esses repositórios:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
**Permissões para a `DataAccessRole`**
Quando você usa uma VPC com trabalho de análise, a `DataAccessRole` usado para as operações `Create*` e `Start*` também deve ter permissões para a VPC a partir da qual os documentos de entrada e o bucket de saída são acessados.
A política a seguir fornece o acesso necessário à `DataAccessRole` usada para nas operações `Create*` e `Start*`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
}
]
}
```
------
**Configuração do grupo de segurança da VPC**
Com os trabalhos distribuídos, é necessário permitir a comunicação entre os diferentes contêineres de trabalho no mesmo trabalho. Para fazer isso, configure uma regra para seu grupo de segurança que permita conexões de entrada entre membros do mesmo grupo de segurança. Para obter informações, consulte [Regras de grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules) no *Guia do usuário da Amazon VPC*.
**Conecte-se a recursos fora de sua VPC**
Se você configurar a VPC para que não tenha acesso à internet, os trabalhos que a utilizam não terão acesso a recursos externos. Se os seus trabalhos precisarem acessar recursos fora da VPC, conceda o acesso com uma das seguintes opções:
+ Se seu trabalho precisar acessar um AWS serviço que ofereça suporte a endpoints VPC de interface, crie um endpoint para se conectar a esse serviço. Para obter uma lista dos serviços compatíveis com endpoints de interface, consulte [Endpoint de VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) no *Guia do usuário da Amazon VPC*. *Para obter informações sobre a criação de uma interface VPC endpoint, consulte Interface [VPC Endpoints () no Guia do usuário AWS PrivateLink da](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) Amazon VPC.*
+ Se seu trabalho precisar acessar um AWS serviço que não ofereça suporte a endpoints VPC de interface ou a um recurso externo AWS, crie um gateway NAT e configure seus grupos de segurança para permitir conexões de saída. Para obter informações sobre como configurar um gateway NAT para sua VPC, consulte [Cenário 2: VPC com sub-redes pública e privada (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html) no *Guia do usuário da Amazon VPC*.