翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
以下のセクションでは、ワークチームへの適切なレベルのアクセスを維持しながら、VPC 設定を管理する方法について詳しく説明します。
VPC 設定でワークフォースを構築する
アカウントに既にワークフォースがある場合は、まずそのワークフォースを削除する必要があります。VPC 設定でワークフォースを更新することもできます。
aws sagemaker create-workforce --cognito-config '{"ClientId": "app-client-id","UserPool": "Pool_ID",}' --workforce-vpc-config \ " {\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}" --workforce-nameworkforce-name{ "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name" }
ワークフォースについて説明し、ステータスが Initializing であることを確認します。
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"WorkforceVpcConfig": {
"VpcId": "vpc-id",
"SecurityGroupIds": [
"sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0"
]
},
"Status": "Initializing"
}
}
Amazon VPC コンソールに移動します。左パネルから [エンドポイント] オプションを選択します。アカウントには 2 つの VPC エンドポイントが作成されているはずです。
ワークフォースに VPC 設定を追加する
次のコマンドを使用して、VPC 以外のプライベートワークフォースを VPC 設定で更新します。
aws sagemaker update-workforce --workforce-nameworkforce-name\ --workforce-vpc-config "{\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}"
ワークフォースについて説明し、ステータスが Updating であることを確認します。
aws sagemaker describe-workforce --workforce-nameworkforce-name{ "Workforce": { "WorkforceName": "workforce-name", "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name", "LastUpdatedDate": 1622151252.451, "SourceIpConfig": { "Cidrs": [] }, "SubDomain": "subdomain.us-west-2.sagamaker.aws.com", "CognitoConfig": { "UserPool": "Pool_ID", "ClientId": "app-client-id" }, "CreateDate": 1622151252.451, "WorkforceVpcConfig": { "VpcId": "vpc-id", "SecurityGroupIds": [ "sg-0123456789abcdef0" ], "Subnets": [ "subnet-0123456789abcdef0" ] }, "Status": "Updating" } }
[Amazon VPC コンソール] に移動します。左パネルから [エンドポイント] オプションを選択します。アカウントには 2 つの VPC エンドポイントが作成されているはずです。
VPC 設定をワークフォースから削除する
VPC リソースを削除するには、VPC プライベートワークフォースを空の VPC 設定で更新します。
aws sagemaker update-workforce --workforce-nameworkforce-name\ --workforce-vpc-config "{}"
ワークフォースについて説明し、ステータスが Updating であることを確認します。
aws sagemaker describe-workforce --workforce-nameworkforce-name{ "Workforce": { "WorkforceName": "workforce-name", "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name", "LastUpdatedDate": 1622151252.451, "SourceIpConfig": { "Cidrs": [] }, "SubDomain": "subdomain.us-west-2.sagamaker.aws.com", "CognitoConfig": { "UserPool": "Pool_ID", "ClientId": "app-client-id" }, "CreateDate": 1622151252.451, "Status": "Updating" } }
Amazon VPC コンソールに移動します。左パネルから [エンドポイント] オプションを選択します。2 つの VPC エンドポイントは削除する必要があります。
VPC 経由のアクセスを維持しながら、ワーカーポータルへのパブリックアクセスを制限する
VPC または VPC 以外のワーカーポータルのワーカーは、自分に割り当てられたラベリングジョブタスクを確認できます。割り当ては、OIDC グループを通じて作業チームのワーカーを割り当てることによって行われます。ワークフォースに sourceIpConfig を設定して、公共のワーカーポータルへのアクセスを制限するのはお客様の責任です。
注記
SageMaker API を介してのみ、ワーカーポータルへのアクセスを制限できます。これはコンソールからは実行できません。
次のコマンドを使用して、ワーカーポータルへのパブリックアクセスを制限します。
aws sagemaker update-workforce --region us-west-2 \ --workforce-name workforce-demo --source-ip-config '{"Cidrs":["10.0.0.0/16"]}'
ワークフォースに sourceIpConfig を設定すると、ワーカーは VPC のワーカーポータルにアクセスできますが、パブリックインターネットからはアクセスできなくなります。
注記
VPC のワーカーポータルには sourceIP 制限を設定できません。
