翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon SageMaker API を使用したプライベートワークフォース管理
<a name="sms-workforce-management-private-api"></a>

Amazon SageMaker API オペレーションを使用して、プライベートワークフォースを管理、更新、削除できます。以下のトピックにリストされている各 API オペレーションについて、サポートされている言語固有の SDK とそのドキュメントの一覧は、API ドキュメントの「**以下の資料も参照してください**」セクションで確認できます。

**Topics**
+ [ワークフォースの名前を見つける](sms-workforce-management-private-api-name.md)
+ [タスクへのワーカーアクセスを許容される IP アドレスに制限する](sms-workforce-management-private-api-cidr.md)
+ [デュアルスタックワークフォースを有効にする](sms-workforce-management-private-api-dualstack.md)
+ [OIDC ID プロバイダーのワークフォース設定を更新する](sms-workforce-management-private-api-update.md)
+ [プライベートワークフォースを削除する](sms-workforce-management-private-api-delete.md)

# ワークフォースの名前を見つける
<a name="sms-workforce-management-private-api-name"></a>

SageMaker AI の一部のワークフォース関連 API オペレーションでは、入力としてワークフォース名が必要です。Amazon Cognito または OIDC IdP のプライベートワークフォース名とベンダーワークフォース名は、その AWS リージョンの []() API オペレーションを使用して AWS リージョンで確認できます。独自の OIDC IdP を使用してワークフォースを作成した場合は、SageMaker AI コンソールの [Ground Truth] エリアでワークフォース名を見つけることができます。

**SageMaker AI コンソールでワークフォース名を見つけるには**

1. SageMaker AI コンソールの [Ground Truth] エリアに移動します: [https://console.aws.amazon.com/sagemaker/groundtruth](https://console.aws.amazon.com/sagemaker/groundtruth)。

1. **[Labeling workforces]** (ラベル付けワークフォース) を選択します。

1. **[Private]** (プライベート) を選択します。

1. **[Private workforce summary]** (プライベートワークフォースの概要) セクションで、ワークフォースの ARN を見つけます。ワークフォース名は、この ARN の末尾にあります。例えば、ARN が `arn:aws:sagemaker:us-east-2:111122223333:workforce/example-workforce` の場合、ワークフォース名は `example-workforce` です。

# タスクへのワーカーアクセスを許容される IP アドレスに制限する
<a name="sms-workforce-management-private-api-cidr"></a>

デフォルトでは、ワークフォースは特定の IP アドレスに制限されていません。[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) オペレーションを使用して、ワーカーが特定の範囲の IP アドレス ([CIDR](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)) を使用してタスクにアクセスするように要求できます。1 つ以上の CIDR を指定した場合、指定した範囲外の IP アドレスを使用してタスクにアクセスしようとするワーカーはアクセスを拒否され、ワーカーポータルで「HTTP 204 No Content」のエラーメッセージが表示されます。`UpdateWorkforce` を使用して、最大 10 個の CIDR 値を指定できます。

ワークフォースを 1 つ以上の CIDR に制限した後、`UpdateWorkforce` の出力に許可されるすべての CIDR が表示されます。また、[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html) オペレーションを使用して、ワークフォースに許容されるすべての CIDR を表示することもできます。

# デュアルスタックワークフォースを有効にする
<a name="sms-workforce-management-private-api-dualstack"></a>

[CreateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateWorkforce.html) および [UpdateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_UpdateWorkforce.html) API オペレーションを使用して、デュアルスタックワークフォースを有効にできます。デュアルスタックワークフォースの作成、既存のワークフォースのデュアルスタックへの更新、デュアルスタックから IPv4 へのワークフォースの変更は AWS マネジメントコンソールではサポートされていません。

**重要**  
`IpAddressType` が定義されていないワークフォースはデフォルトで `IPv4` になります。

## デュアルスタックワークフォースを作成する
<a name="sms-workforce-management-private-dualstack-create"></a>

デュアルスタックワークフォースを作成するプロセスは IPv4 専用ワークフォースを作成するプロセスと似ていますが、以下の例外があります。詳細については、「[CreateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateWorkforce.html)」を参照してください。
+ VPC をプライベートワークフォースにアタッチするには、VPC もデュアルスタックで、IPv6 CIDR ブロックが VPC のサブネットに関連付けられていることを確認します。
+ `SourceIpConfig` パラメータを使用してトラフィックを特定の IP アドレス範囲に制限するには、IPv6 CIDR ブロックもリストに含まれていることを確認します。
+ タスクによってアクセスされる S3 バケットに `SourceIp` 条件があるポリシーを実装するには、それらのポリシーがデュアルスタック互換に更新されていることを確認します。
+ ID プロバイダの認証エンドポイントでデュアルスタックがサポートされている必要があります。詳細については、「[Authentication flow](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/listener-authenticate-users.html#authentication-flow)」を参照してください。

**boto3 を使用した `CreateWorkforce` SDK コールの例**

詳細については、「[create\$1workforce](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sagemaker/client/create_workforce.html#SageMaker.Client.create_workforce)」を参照してください。

```
import boto3

client = boto3.resource('sagemaker')

# IpAddressType = 'dualstack'|'ipv4'
client.create_workforce(
    WorkforceName='string',
    IpAddressType='dualstack',
    WorkforceConfig={
        'CognitoConfig': {
            'UserPool': 'string',
            'Client': 'string'
        }
    }
)
```

## デュアルスタックワークフォースを更新する
<a name="sms-workforce-management-private-dualstack-update"></a>

既存のワークフォースをデュアルスタックに更新する場合は、次の点に注意してください。詳細については、「[UpdateWorkforce](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_UpdateWorkforce.html)」と「[VPC の IPv6 サポート](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-migrate-ipv6.html)」を参照してください。
+ VPC がワークフォースにアタッチされている場合は、VPC をデュアルスタックに更新する必要があります。また、VPC のセキュリティグループで IPv6 トラフィックが許可されていることを確認します。
+ `SourceIpConfig` パラメータを使用している場合は、IPv6 CIDR ブロックを含めるように更新します。
+ タスクによってアクセスされる S3 バケットに `SourceIp` 条件があるポリシーを実装するには、それらのポリシーがデュアルスタック互換に更新されていることを確認します。
+ ID プロバイダの認証エンドポイントでデュアルスタックがサポートされている必要があります。詳細については、「[Authentication flow](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/listener-authenticate-users.html#authentication-flow)」を参照してください。

**boto3 を使用した `UpdateWorkforce` SDK コールの例**

詳細については、「[update\$1workforce](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sagemaker/client/update_workforce.html#SageMaker.Client.update_workforce)」を参照してください。

```
import boto3

client = boto3.resource('sagemaker')

# IpAddressType = 'dualstack'|'ipv4'
client.update_workforce(
    WorkforceName='string',
    IpAddressType='dualstack'
)
```

# OIDC ID プロバイダーのワークフォース設定を更新する
<a name="sms-workforce-management-private-api-update"></a>

独自の OIDC IdP を使用して作成されたワークフォースを更新して、別の認可エンドポイント、トークンエンドポイント、または発行者を指定できます。`[OidcConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_OidcConfig.html)` で見つかったパラメータは、[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) オペレーションを使用して更新できます。

**重要**  
OIDC IdP の設定を更新できるのは、ワークフォースに関連付けられている作業チームがない場合のみです。`[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)` オペレーションを使用して、プライベートワークチームを削除できます。

# プライベートワークフォースを削除する
<a name="sms-workforce-management-private-api-delete"></a>

各 AWS リージョンには 1 つのプライベートワークフォースしか配置できません。次の場合に、 AWS リージョンのプライベートワークフォースを削除できます。
+ 新しい Amazon Cognito ユーザープールを使用してワークフォースを作成する場合。
+ Amazon Cognito を使用してプライベートワークフォースを既に作成しており、独自の OpenID Connect (OIDC) ID プロバイダー (IdP) を使用してワークフォースを作成したい場合。

プライベートワークフォースを削除するには、[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html) API オペレーションを使用します。ワークフォースに関連付けられている作業チームがある場合は、ワークフォースを削除する前にそれらの作業チームを削除する必要があります。`[DeleteWorkteam](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html)` オペレーションを使用して、プライベートワークチームを削除できます。