Uso de la SageMaker AWS API para administrar una configuración de VPC - Amazon SageMaker
Cree un personal con una configuración de VPCAñadir una configuración de VPC a su personalEliminar una configuración de VPC de su personalRestrinja el acceso público al portal para trabajadores y mantenga el acceso a través de una VPC

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de la SageMaker AWS API para administrar una configuración de VPC

Utilice las siguientes secciones para obtener más información sobre cómo administrar una configuración de VPC y, al mismo tiempo, mantener el nivel de acceso adecuado al equipo de trabajo.

Cree un personal con una configuración de VPC

Si la cuenta ya tiene un personal, primero deberá eliminarlo. También puede actualizar el personal con la configuración de la VPC.


aws sagemaker create-workforce --cognito-config '{"ClientId": "app-client-id","UserPool": "Pool_ID",}' --workforce-vpc-config \       
" {\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}" --workforce-name workforce-name
{
    "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name"
}

Describa el personal y asegúrese de que el estado sea Initializing.


aws sagemaker describe-workforce --workforce-name workforce-name
{
    "Workforce": {
        "WorkforceName": "workforce-name",
        "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
        "LastUpdatedDate": 1622151252.451,
        "SourceIpConfig": {
            "Cidrs": []
        },
        "SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
        "CognitoConfig": {
            "UserPool": "Pool_ID",
            "ClientId": "app-client-id"
        },
        "CreateDate": 1622151252.451,
        "WorkforceVpcConfig": {
            "VpcId": "vpc-id",
            "SecurityGroupIds": [
                "sg-0123456789abcdef0"
            ],
            "Subnets": [
                "subnet-0123456789abcdef0"
            ]
        },
        "Status": "Initializing"
    }
}

Vaya a la consola de Amazon VPC. Seleccione Puntos de conexión en el panel izquierdo. Debe haber dos puntos de conexión de VPC creados en su cuenta.

Añadir una configuración de VPC a su personal

Actualice un personal privado que no sea de VPC con una configuración de VPC mediante el siguiente comando.


aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}"

Describa el personal y asegúrese de que el estado sea Updating.


aws sagemaker describe-workforce --workforce-name workforce-name
{
    "Workforce": {
        "WorkforceName": "workforce-name",
        "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
        "LastUpdatedDate": 1622151252.451,
        "SourceIpConfig": {
            "Cidrs": []
        },
        "SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
        "CognitoConfig": {
            "UserPool": "Pool_ID",
            "ClientId": "app-client-id"
        },
        "CreateDate": 1622151252.451,
        "WorkforceVpcConfig": {
            "VpcId": "vpc-id",
            "SecurityGroupIds": [
                "sg-0123456789abcdef0"
            ],
            "Subnets": [
                "subnet-0123456789abcdef0"
            ]
        },
        "Status": "Updating"
    }
}

Diríjase a la consola de Amazon VPC. Seleccione Puntos de conexión en el panel izquierdo. Debe haber dos puntos de conexión de VPC creados en su cuenta.

Eliminar una configuración de VPC de su personal

Actualice un personal privado de VPC con una configuración de VPC vacía para eliminar los recursos de VPC.


aws sagemaker update-workforce --workforce-name workforce-name\ 
--workforce-vpc-config "{}"

Describa el personal y asegúrese de que el estado sea Updating.


aws sagemaker describe-workforce --workforce-name workforce-name
{
    "Workforce": {
        "WorkforceName": "workforce-name",
        "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
        "LastUpdatedDate": 1622151252.451,
        "SourceIpConfig": {
            "Cidrs": []
        },
        "SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
        "CognitoConfig": {
            "UserPool": "Pool_ID",
            "ClientId": "app-client-id"
        },
        "CreateDate": 1622151252.451,
        "Status": "Updating"
    }
}

Diríjase a la consola de Amazon VPC. Seleccione Puntos de conexión en el panel izquierdo. Se deben eliminar los dos puntos de conexión de VPC.

Restrinja el acceso público al portal para trabajadores y mantenga el acceso a través de una VPC

Los trabajadores de un portal para trabajadores de VPC o no VPC pueden ver las tareas de etiquetado que tengan asignadas. La tarea consiste en asignar a los trabajadores de un equipo de trabajo a través de grupos del OIDC. Es responsabilidad del cliente restringir el acceso a su portal para trabajadores públicos configurando la sourceIpConfig en su plantilla.

nota

Puede restringir el acceso al portal para trabajadores únicamente a través de la SageMaker API. No puede hacerlo a través de la consola.

Ejecute el siguiente comando para restringir el acceso público al portal para trabajadores.


aws sagemaker update-workforce --region us-west-2 \
--workforce-name workforce-demo --source-ip-config '{"Cidrs":["10.0.0.0/16"]}'

Una vez establecida la sourceIpConfig en el personal, los trabajadores pueden acceder al portal para trabajadores en VPC, pero no a través de la Internet pública.

nota

No puede establecer la restricción sourceIP para el portal para trabajadores en la VPC.