Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Protégez les emplois en utilisant un Amazon Virtual Private Cloud
Amazon Comprehend utilise diverses mesures de sécurité pour garantir la sécurité de vos données grâce à nos conteneurs de tâches dans lesquels elles sont stockées pendant leur utilisation par Amazon Comprehend. Cependant, les conteneurs de tâches accèdent à des AWS ressources, telles que les compartiments Amazon S3 dans lesquels vous stockez des données et des artefacts de modèles, via Internet.
Pour contrôler l'accès à vos données, nous vous recommandons de créer un cloud privé virtuel (VPC) et de le configurer de manière à ce que les données et les conteneurs ne soient pas accessibles via Internet. Pour plus d'informations sur la création et la configuration d'unVPC, consultez Getting Started With Amazon VPC dans le guide de VPC l'utilisateur Amazon. L'utilisation d'un VPC permet de protéger vos données car vous pouvez les configurer de VPC manière à ce qu'elles ne soient pas connectées à Internet. L'utilisation d'un vous permet VPC également de surveiller tout le trafic réseau entrant et sortant de nos conteneurs de tâches à l'aide de journaux de VPC flux. Pour plus d'informations, consultez VPCFlow Logs dans le guide de VPC l'utilisateur Amazon.
Vous spécifiez votre VPC configuration lorsque vous créez une tâche, en spécifiant les sous-réseaux et les groupes de sécurité. Lorsque vous spécifiez les sous-réseaux et les groupes de sécurité, Amazon Comprehend crée des interfaces réseau élastiques ENIs () associées à vos groupes de sécurité dans l'un des sous-réseaux. ENIspermettez à nos conteneurs d'emplois de se connecter aux ressources de votre entrepriseVPC. Pour plus d'informations à ce sujetENIs, consultez la section Elastic Network Interfaces dans le guide de VPC l'utilisateur Amazon.
Note
Pour les tâches, vous ne pouvez configurer que des sous-réseaux dotés d'une location par défaut VPC dans lesquels votre instance s'exécute sur du matériel partagé. Pour plus d'informations sur l'attribut de location pourVPCs, consultez la section Instances dédiées dans le guide de l'EC2utilisateur Amazon.
Configuration d'une tâche pour l'VPCaccès à Amazon
Pour spécifier des sous-réseaux et des groupes de sécurité dans votreVPC, utilisez le paramètre de VpcConfig demande applicable API ou fournissez ces informations lorsque vous créez une tâche dans la console Amazon Comprehend. Amazon Comprehend utilise ces informations pour les créer ENIs et les joindre à nos conteneurs de tâches. Ils ENIs fournissent à nos conteneurs d'emplois une connexion réseau au sein de votre VPC entreprise qui n'est pas connectée à Internet.
Les éléments suivants APIs contiennent le paramètre de VpcConfig demande :
Voici un exemple du VpcConfig paramètre que vous incluez dans votre API appel :
"VpcConfig": { "SecurityGroupIds": [ " sg-0123456789abcdef0" ], "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ] }
Pour configurer une tâche VPC depuis la console Amazon Comprehend, choisissez les détails de configuration dans la section facultative VPCParamètres lors de la création de la tâche.
Configurez vos VPC tâches pour Amazon Comprehend
Lorsque vous configurez le VPC pour vos tâches Amazon Comprehend, suivez les instructions suivantes. Pour plus d'informations sur la configuration d'unVPC, consultez la section Utilisation des sous-réseaux VPCs et des sous-réseaux dans le guide de VPC l'utilisateur Amazon.
Assurez-vous que les sous-réseaux disposent d'un nombre suffisant d'adresses IP
Vos VPC sous-réseaux doivent avoir au moins deux adresses IP privées pour chaque instance d'une tâche. Pour plus d'informations, consultez la section VPCrelative au dimensionnement des sous-réseaux IPv4 dans le guide de VPCl'utilisateur Amazon.
Création d'un point de VPC terminaison Amazon S3
Si vous configurez le vôtre de VPC telle sorte que les conteneurs de tâches n'aient pas accès à Internet, ils ne peuvent pas se connecter aux compartiments Amazon S3 contenant vos données, sauf si vous créez un VPC point de terminaison autorisant l'accès. En créant un VPC point de terminaison, vous autorisez les conteneurs de tâches à accéder à vos données pendant les tâches de formation et d'analyse.
Lorsque vous créez le VPC point de terminaison, configurez les valeurs suivantes :
Sélectionnez la catégorie de service en tant que AWS Services
Spécifiez le service comme
com.amazonaws.region.s3Sélectionnez Gateway comme type de VPC point de terminaison
Si vous utilisez AWS CloudFormation pour créer le VPC point de terminaison, suivez la AWS CloudFormation VPCEndpointdocumentation. L'exemple suivant montre la VPCEndpointconfiguration dans un AWS CloudFormation modèle.
VpcEndpoint: Type: AWS::EC2::VPCEndpoint Properties: PolicyDocument: Version: '2012-10-17' Statement: - Action: - s3:GetObject - s3:PutObject - s3:ListBucket - s3:GetBucketLocation - s3:DeleteObject - s3:ListMultipartUploadParts - s3:AbortMultipartUpload Effect: Allow Resource: - "*" Principal: "*" RouteTableIds: - Ref: RouteTable ServiceName: Fn::Join: - '' - - com.amazonaws. - Ref: AWS::Region - ".s3" VpcId: Ref: VPC
Nous vous recommandons également de créer une politique personnalisée qui autorise uniquement les demandes provenant de vous VPC à accéder à vos compartiments S3. Pour plus d'informations, consultez Endpoints for Amazon S3 dans le guide de l'VPCutilisateur Amazon.
La stratégie suivante permet d’accéder aux compartiments S3. Modifiez cette politique pour autoriser l'accès uniquement aux ressources dont votre travail a besoin.
{ "Version": "2008-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket", "s3:GetBucketLocation", "s3:DeleteObject", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload" ], "Resource": "*" } ] }
Utilisez DNS les paramètres par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemplehttp://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket) soit résolu. Si vous n'utilisez pas DNS les paramètres par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos tâches sont résolus en configurant les tables de routage des points de terminaison. Pour plus d'informations sur les tables de routage des points de VPC terminaison, consultez la section Routing for Gateway Endpoints dans le guide de VPC l'utilisateur Amazon.
La politique de point de terminaison par défaut permet aux utilisateurs d'installer des packages provenant des référentiels Amazon Linux et Amazon Linux 2 sur notre conteneur de tâches. Si vous ne voulez pas que les utilisateurs installent des packages à partir de ce référentiel, créez une politique de point de terminaison personnalisée qui refuse explicitement l'accès aux référentiels Amazon Linux et Amazon Linux 2. Comprehend lui-même n'a pas besoin de tels packages, il n'y aura donc aucun impact sur les fonctionnalités. Voici un exemple de politique qui refuse l'accès à ces référentiels :
{ "Statement": [ { "Sid": "AmazonLinuxAMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::packages.*.amazonaws.com/*", "arn:aws:s3:::repo.*.amazonaws.com/*" ] } ] } { "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Deny", "Resource": [ "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" ] } ] }
Autorisations pour DataAccessRole
Lorsque vous utilisez un VPC avec votre tâche d'analyse, les Start* opérations DataAccessRole utilisées pour Create* et doivent également disposer d'autorisations permettant VPC d'accéder aux documents d'entrée et au compartiment de sortie.
La politique suivante fournit l'accès nécessaire aux opérations DataAccessRole utilisées pour les Start* opérations Create* et.
{ "Version": "2008-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" } ] }
Configuration du groupe VPC de sécurité
Dans le cas des tâches distribuées, vous devez autoriser la communication entre les différents conteneurs de tâches d'une même tâche. Pour ce faire, configurez une règle pour votre groupe de sécurité qui autorise les connexions entrantes entre les membres du même groupe de sécurité. Pour plus d'informations, consultez la section Règles des groupes de sécurité dans le guide de VPC l'utilisateur Amazon.
Connectez-vous à des ressources extérieures à votre VPC
Si vous configurez votre compte de VPC manière à ce qu'il n'ait pas accès à Internet, les tâches qui l'utilisent VPC n'ont pas accès à des ressources extérieures à votre compteVPC. Si vos emplois nécessitent l'accès à des ressources extérieures à vousVPC, offrez l'accès à l'aide de l'une des options suivantes :
Si votre travail nécessite l'accès à un AWS service qui prend en charge les VPC points de terminaison d'interface, créez un point de terminaison pour vous connecter à ce service. Pour obtenir la liste des services qui prennent en charge les points de terminaison d'interface, consultez la section VPCEndpoints dans le guide de VPCl'utilisateur Amazon. Pour plus d'informations sur la création d'un point de VPC terminaison d'interface, consultez Interface VPC Endpoints (AWS PrivateLink) dans le guide de VPC l'utilisateur Amazon.
Si votre travail nécessite l'accès à un AWS service qui ne prend pas en charge les VPC points de terminaison d'interface ou à une ressource extérieure AWS, créez une NAT passerelle et configurez vos groupes de sécurité pour autoriser les connexions sortantes. Pour plus d'informations sur la configuration d'une NAT passerelle pour votre VPC compte, consultez Scénario 2 : VPC avec des sous-réseaux publics et privés (NAT) dans le guide de l'VPCutilisateur Amazon.
