翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
SageMaker AWS API を使用して VPC 設定を管理する
以下のセクションでは、作業チームへの適切なレベルのアクセスを維持しながら、VPCs設定の管理について詳しく説明します。
VPC 設定でワークフォースを構築する
アカウントに既にワークフォースがある場合は、まずそのワークフォースを削除する必要があります。VPC 設定でワークフォースを更新することもできます。
aws sagemaker create-workforce --cognito-config '{"ClientId": "app-client-id","UserPool": "Pool_ID",}' --workforce-vpc-config \ " {\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}" --workforce-nameworkforce-name{ "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name" }
ワークフォースについて説明し、ステータスが Initializing であることを確認します。
aws sagemaker describe-workforce --workforce-nameworkforce-name{ "Workforce": { "WorkforceName": "workforce-name", "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name", "LastUpdatedDate": 1622151252.451, "SourceIpConfig": { "Cidrs": [] }, "SubDomain": "subdomain.us-west-2.sagamaker.aws.com", "CognitoConfig": { "UserPool": "Pool_ID", "ClientId": "app-client-id" }, "CreateDate": 1622151252.451, "WorkforceVpcConfig": { "VpcId": "vpc-id", "SecurityGroupIds": [ "sg-0123456789abcdef0" ], "Subnets": [ "subnet-0123456789abcdef0" ] }, "Status": "Initializing" } }
Amazon VPC コンソールに移動します。左パネルから [エンドポイント] オプションを選択します。アカウントには 2 つの VPC エンドポイントが作成されているはずです。
ワークフォースに VPC 設定を追加する
次のコマンドを使用して、VPC 以外のプライベートワークフォースを VPC 設定で更新します。
aws sagemaker update-workforce --workforce-nameworkforce-name\ --workforce-vpc-config "{\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}"
ワークフォースについて説明し、ステータスが Updating であることを確認します。
aws sagemaker describe-workforce --workforce-nameworkforce-name{ "Workforce": { "WorkforceName": "workforce-name", "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name", "LastUpdatedDate": 1622151252.451, "SourceIpConfig": { "Cidrs": [] }, "SubDomain": "subdomain.us-west-2.sagamaker.aws.com", "CognitoConfig": { "UserPool": "Pool_ID", "ClientId": "app-client-id" }, "CreateDate": 1622151252.451, "WorkforceVpcConfig": { "VpcId": "vpc-id", "SecurityGroupIds": [ "sg-0123456789abcdef0" ], "Subnets": [ "subnet-0123456789abcdef0" ] }, "Status": "Updating" } }
[Amazon VPC コンソール] に移動します。左パネルから [エンドポイント] オプションを選択します。アカウントには 2 つの VPC エンドポイントが作成されているはずです。
VPC 設定をワークフォースから削除する
VPC リソースを削除するには、VPC プライベートワークフォースを空の VPC 設定で更新します。
aws sagemaker update-workforce --workforce-nameworkforce-name\ --workforce-vpc-config "{}"
ワークフォースについて説明し、ステータスが Updating であることを確認します。
aws sagemaker describe-workforce --workforce-nameworkforce-name{ "Workforce": { "WorkforceName": "workforce-name", "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name", "LastUpdatedDate": 1622151252.451, "SourceIpConfig": { "Cidrs": [] }, "SubDomain": "subdomain.us-west-2.sagamaker.aws.com", "CognitoConfig": { "UserPool": "Pool_ID", "ClientId": "app-client-id" }, "CreateDate": 1622151252.451, "Status": "Updating" } }
Amazon VPC コンソールに移動します。左パネルから [エンドポイント] オプションを選択します。2 つの VPC エンドポイントは削除する必要があります。
VPC 経由のアクセスを維持しながら、ワーカーポータルへのパブリックアクセスを制限する
VPC または VPC 以外のワーカーポータルのワーカーは、自分に割り当てられたラベリングジョブタスクを確認できます。割り当ては、OIDC グループを通じて作業チームのワーカーを割り当てることによって行われます。ワークフォースに sourceIpConfig を設定して、公共のワーカーポータルへのアクセスを制限するのはお客様の責任です。
注記
ワーカーポータルへのアクセスは、 SageMaker API を介してのみ制限できます。これはコンソールからは実行できません。
次のコマンドを使用して、ワーカーポータルへのパブリックアクセスを制限します。
aws sagemaker update-workforce --region us-west-2 \ --workforce-name workforce-demo --source-ip-config '{"Cidrs":["10.0.0.0/16"]}'
ワークフォースに sourceIpConfig を設定すると、ワーカーは VPC のワーカーポータルにアクセスできますが、パブリックインターネットからはアクセスできなくなります。
注記
VPC のワーカーポータルには sourceIP 制限を設定できません。
