Usando a SageMaker AWS API para gerenciar uma configuração de VPC - Amazon SageMaker
Crie uma força de trabalho com uma configuração da VPCAdicionar uma configuração da VPC à sua força de trabalhoRemovendo uma configuração da VPC da sua força de trabalhoRestrinja o acesso público ao portal do operador enquanto mantém o acesso por meio de uma VPC

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando a SageMaker AWS API para gerenciar uma configuração de VPC

Use as seções a seguir para saber mais sobre como gerenciar uma configuração de VPCs e, ao mesmo tempo, manter o nível certo de acesso à equipe de trabalho.

Crie uma força de trabalho com uma configuração da VPC

Se a conta já tiver uma força de trabalho, você deverá excluí-la primeiro. Você também pode atualizar a força de trabalho com a configuração da VPC.


aws sagemaker create-workforce --cognito-config '{"ClientId": "app-client-id","UserPool": "Pool_ID",}' --workforce-vpc-config \       
" {\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}" --workforce-name workforce-name
{
    "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name"
}

Descreva a força de trabalho e verifique se o status é Initializing.


aws sagemaker describe-workforce --workforce-name workforce-name
{
    "Workforce": {
        "WorkforceName": "workforce-name",
        "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
        "LastUpdatedDate": 1622151252.451,
        "SourceIpConfig": {
            "Cidrs": []
        },
        "SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
        "CognitoConfig": {
            "UserPool": "Pool_ID",
            "ClientId": "app-client-id"
        },
        "CreateDate": 1622151252.451,
        "WorkforceVpcConfig": {
            "VpcId": "vpc-id",
            "SecurityGroupIds": [
                "sg-0123456789abcdef0"
            ],
            "Subnets": [
                "subnet-0123456789abcdef0"
            ]
        },
        "Status": "Initializing"
    }
}

Navegue até o console do Amazon VPC. Selecione Endpoints no painel esquerdo. Deve haver dois endpoints da VPC criados na sua conta.

Adicionar uma configuração da VPC à sua força de trabalho

Atualize uma força de trabalho privada que não seja da VPC com uma configuração da VPC usando o comando a seguir.


aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}"

Descreva a força de trabalho e verifique se o status é Updating.


aws sagemaker describe-workforce --workforce-name workforce-name
{
    "Workforce": {
        "WorkforceName": "workforce-name",
        "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
        "LastUpdatedDate": 1622151252.451,
        "SourceIpConfig": {
            "Cidrs": []
        },
        "SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
        "CognitoConfig": {
            "UserPool": "Pool_ID",
            "ClientId": "app-client-id"
        },
        "CreateDate": 1622151252.451,
        "WorkforceVpcConfig": {
            "VpcId": "vpc-id",
            "SecurityGroupIds": [
                "sg-0123456789abcdef0"
            ],
            "Subnets": [
                "subnet-0123456789abcdef0"
            ]
        },
        "Status": "Updating"
    }
}

Navegue até o console do Amazon VPC. Selecione Endpoints no painel esquerdo. Deve haver dois VPC endpoints criados na sua conta.

Removendo uma configuração da VPC da sua força de trabalho

Atualize uma força de trabalho privada da VPC com uma configuração da VPC vazia para remover os recursos da VPC.


aws sagemaker update-workforce --workforce-name workforce-name\ 
--workforce-vpc-config "{}"

Descreva a força de trabalho e verifique se o status é Updating.


aws sagemaker describe-workforce --workforce-name workforce-name
{
    "Workforce": {
        "WorkforceName": "workforce-name",
        "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
        "LastUpdatedDate": 1622151252.451,
        "SourceIpConfig": {
            "Cidrs": []
        },
        "SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
        "CognitoConfig": {
            "UserPool": "Pool_ID",
            "ClientId": "app-client-id"
        },
        "CreateDate": 1622151252.451,
        "Status": "Updating"
    }
}

Navegue até o seu console do Amazon VPC. Selecione Endpoints no painel esquerdo. Os dois endpoints da VPC devem ser excluídos.

Restrinja o acesso público ao portal do operador enquanto mantém o acesso por meio de uma VPC

Os operadores em um portal de operador VPC ou não VPC podem ver os trabalhos de rotulagem atribuídos a eles. A atribuição vem da atribuição de trabalhadores em uma equipe de trabalho por meio de grupos OIDC. É responsabilidade do cliente restringir o acesso aos seus portais público de trabalhadores, definindo o sourceIpConfig em sua força de trabalho.

nota

Você pode restringir o acesso ao portal do trabalhador somente por meio da SageMaker API. Isso não pode ser feito por meio do console.

Use o comando a seguir para restringir o acesso público ao portal de trabalhadores.


aws sagemaker update-workforce --region us-west-2 \
--workforce-name workforce-demo --source-ip-config '{"Cidrs":["10.0.0.0/16"]}'

Depois que o sourceIpConfig for configurado na força de trabalho, os trabalhadores podem acessar o portal de trabalhadores na VPC, mas não pela Internet pública.

nota

Você não pode definir a restrição sourceIP para o portal de trabalhadores na VPC.