기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
SageMaker AWS API를 사용하여 VPC 구성 관리
다음 섹션을 사용하여 작업 팀에 대한 적절한 수준의 액세스 권한을 유지하면서 VPC 구성을 관리하는 방법에 대해 자세히 알아보십시오.
VPC 구성을 이용한 작업 인력 생성
이 계정에 이미 작업 인력이 있는 경우, 해당 계정을 먼저 삭제해야 합니다. VPC 구성으로 해당 작업 인력을 업데이트할 수도 있습니다.
aws sagemaker create-workforce --cognito-config '{"ClientId": "app-client-id","UserPool": "Pool_ID",}' --workforce-vpc-config \ " {\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}" --workforce-nameworkforce-name{ "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name" }
작업 인력에 대해 설명하고 그 상태가 Initializing인지 확인하세요.
aws sagemaker describe-workforce --workforce-nameworkforce-name{ "Workforce": { "WorkforceName": "workforce-name", "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name", "LastUpdatedDate": 1622151252.451, "SourceIpConfig": { "Cidrs": [] }, "SubDomain": "subdomain.us-west-2.sagamaker.aws.com", "CognitoConfig": { "UserPool": "Pool_ID", "ClientId": "app-client-id" }, "CreateDate": 1622151252.451, "WorkforceVpcConfig": { "VpcId": "vpc-id", "SecurityGroupIds": [ "sg-0123456789abcdef0" ], "Subnets": [ "subnet-0123456789abcdef0" ] }, "Status": "Initializing" } }
Amazon VPC 콘솔로 이동하세요. 왼쪽 창에서 엔드포인트를 선택하세요. 사용자의 계정에 2개의 VPC 엔드포인트가 생성되어 있어야 합니다.
작업 인력에 VPC 구성 추가
다음 명령을 사용하여 VPC 외 프라이빗 작업 인력을 VPC 구성으로 업데이트하세요.
aws sagemaker update-workforce --workforce-nameworkforce-name\ --workforce-vpc-config "{\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}"
작업 인력에 대해 설명하고 그 상태가 Updating인지 확인하세요.
aws sagemaker describe-workforce --workforce-nameworkforce-name{ "Workforce": { "WorkforceName": "workforce-name", "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name", "LastUpdatedDate": 1622151252.451, "SourceIpConfig": { "Cidrs": [] }, "SubDomain": "subdomain.us-west-2.sagamaker.aws.com", "CognitoConfig": { "UserPool": "Pool_ID", "ClientId": "app-client-id" }, "CreateDate": 1622151252.451, "WorkforceVpcConfig": { "VpcId": "vpc-id", "SecurityGroupIds": [ "sg-0123456789abcdef0" ], "Subnets": [ "subnet-0123456789abcdef0" ] }, "Status": "Updating" } }
Amazon VPC 콘솔로 이동하세요. 왼쪽 창에서 엔드포인트를 선택하세요. 사용자의 계정에 2개의 VPC 엔드포인트가 생성되어 있어야 합니다.
작업 인력에서 VPC 구성 제거
VPC 프라이빗 작업 인력을 빈 VPC 구성으로 업데이트하여 VPC 리소스를 제거하세요.
aws sagemaker update-workforce --workforce-nameworkforce-name\ --workforce-vpc-config "{}"
작업 인력에 대해 설명하고 그 상태가 Updating인지 확인하세요.
aws sagemaker describe-workforce --workforce-nameworkforce-name{ "Workforce": { "WorkforceName": "workforce-name", "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name", "LastUpdatedDate": 1622151252.451, "SourceIpConfig": { "Cidrs": [] }, "SubDomain": "subdomain.us-west-2.sagamaker.aws.com", "CognitoConfig": { "UserPool": "Pool_ID", "ClientId": "app-client-id" }, "CreateDate": 1622151252.451, "Status": "Updating" } }
Amazon VPC 콘솔로 이동하세요. 왼쪽 창에서 엔드포인트를 선택하세요. 이 2개의 VPC 엔드포인트는 삭제해야 합니다.
VPC로 액세스를 유지하는 동시에 작업자 포털에 대한 공개 액세스 제한
VPC 내부 또는 VPC 외 작업자 포털의 작업자는 본인에게 할당된 레이블 지정 작업을 확인할 수 있습니다. 이러한 배정은 OIDC 그룹을 통해 작업팀에 작업자를 배정함으로써 이뤄집니다. 작업 인력에서 sourceIpConfig을(를) 설정하여 퍼블릭 작업자 포털에 대한 액세스를 제한하는 것은 고객의 책임입니다.
참고
SageMaker API를 통해서만 작업자 포털에 대한 액세스를 제한할 수 있습니다. 콘솔에서는 이 작업을 수행할 수 없습니다.
다음 명령을 사용하여 작업자 포털에 대한 퍼블릭 액세스를 제한하세요.
aws sagemaker update-workforce --region us-west-2 \ --workforce-name workforce-demo --source-ip-config '{"Cidrs":["10.0.0.0/16"]}'
작업 인력에 sourceIpConfig을(를) 설정하고 나면 작업자가 VPC로는 작업자 포털에 액세스할 수 있지만, 공용 인터넷으로는 액세스할 수 없습니다.
참고
VPC에서는 작업자 포털에 대한 sourceIP 제한을 설정할 수 없습니다.
