翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# SageMaker AI AWS API を使用した VPC 設定の管理
以下のセクションでは、ワークチームへの適切なレベルのアクセスを維持しながら、VPC 設定を管理する方法について詳しく説明します。
## VPC 設定でワークフォースを構築する
アカウントに既にワークフォースがある場合は、まずそのワークフォースを削除する必要があります。VPC 設定でワークフォースを更新することもできます。
```
aws sagemaker create-workforce --cognito-config '{"ClientId": "app-client-id","UserPool": "Pool_ID",}' --workforce-vpc-config \
" {\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}" --workforce-name workforce-name
{
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name"
}
```
ワークフォースについて説明し、ステータスが `Initializing` であることを確認します。
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"WorkforceVpcConfig": {
"VpcId": "vpc-id",
"SecurityGroupIds": [
"sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0"
]
},
"Status": "Initializing"
}
}
```
Amazon VPC コンソールに移動します。左パネルから **[エンドポイント]** オプションを選択します。アカウントには 2 つの VPC エンドポイントが作成されているはずです。
## ワークフォースに VPC 設定を追加する
次のコマンドを使用して、VPC 以外のプライベートワークフォースを VPC 設定で更新します。
```
aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}"
```
ワークフォースについて説明し、ステータスが `Updating` であることを確認します。
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"WorkforceVpcConfig": {
"VpcId": "vpc-id",
"SecurityGroupIds": [
"sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0"
]
},
"Status": "Updating"
}
}
```
[Amazon VPC コンソール] に移動します。左パネルから **[エンドポイント]** オプションを選択します。アカウントには 2 つの VPC エンドポイントが作成されているはずです。
## VPC 設定をワークフォースから削除する
VPC リソースを削除するには、VPC プライベートワークフォースを空の VPC 設定で更新します。
```
aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{}"
```
ワークフォースについて説明し、ステータスが `Updating` であることを確認します。
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"Status": "Updating"
}
}
```
Amazon VPC コンソールに移動します。左パネルから **[エンドポイント]** オプションを選択します。2 つの VPC エンドポイントは削除する必要があります。
## VPC 経由のアクセスを維持しながら、ワーカーポータルへのパブリックアクセスを制限する
VPC または VPC 以外のワーカーポータルのワーカーは、自分に割り当てられたラベリングジョブタスクを確認できます。割り当ては、OIDC グループを通じて作業チームのワーカーを割り当てることによって行われます。ワークフォースに `sourceIpConfig` を設定して、公共のワーカーポータルへのアクセスを制限するのはお客様の責任です。
**注記**
SageMaker API を介してのみ、ワーカーポータルへのアクセスを制限できます。これはコンソールからは実行できません。
次のコマンドを使用して、ワーカーポータルへのパブリックアクセスを制限します。
```
aws sagemaker update-workforce --region us-west-2 \
--workforce-name workforce-demo --source-ip-config '{"Cidrs":["10.0.0.0/16"]}'
```
ワークフォースに `sourceIpConfig` を設定すると、ワーカーは VPC のワーカーポータルにアクセスできますが、パブリックインターネットからはアクセスできなくなります。
**注記**
VPC のワーカーポータルには `sourceIP` 制限を設定できません。