기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# SageMaker AI AWS API를 사용하여 VPC 구성 관리
다음 섹션을 사용하여 작업 팀에 대한 적절한 수준의 액세스를 유지하면서 VPC 구성을 관리하는 방법에 대해 자세히 알아봅니다.
## VPC 구성을 이용한 작업 인력 생성
이 계정에 이미 작업 인력이 있는 경우, 해당 계정을 먼저 삭제해야 합니다. VPC 구성으로 해당 작업 인력을 업데이트할 수도 있습니다.
```
aws sagemaker create-workforce --cognito-config '{"ClientId": "app-client-id","UserPool": "Pool_ID",}' --workforce-vpc-config \
" {\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}" --workforce-name workforce-name
{
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name"
}
```
작업 인력에 대해 설명하고 그 상태가 `Initializing`인지 확인하세요.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"WorkforceVpcConfig": {
"VpcId": "vpc-id",
"SecurityGroupIds": [
"sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0"
]
},
"Status": "Initializing"
}
}
```
Amazon VPC 콘솔로 이동하세요. 왼쪽 창에서 **엔드포인트**를 선택하세요. 사용자의 계정에 2개의 VPC 엔드포인트가 생성되어 있어야 합니다.
## 작업 인력에 VPC 구성 추가
다음 명령을 사용하여 VPC 외 프라이빗 작업 인력을 VPC 구성으로 업데이트하세요.
```
aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}"
```
작업 인력에 대해 설명하고 그 상태가 `Updating`인지 확인하세요.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"WorkforceVpcConfig": {
"VpcId": "vpc-id",
"SecurityGroupIds": [
"sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0"
]
},
"Status": "Updating"
}
}
```
Amazon VPC 콘솔로 이동하세요. 왼쪽 창에서 **엔드포인트**를 선택하세요. 사용자의 계정에 2개의 VPC 엔드포인트가 생성되어 있어야 합니다.
## 작업 인력에서 VPC 구성 제거
VPC 프라이빗 작업 인력을 빈 VPC 구성으로 업데이트하여 VPC 리소스를 제거하세요.
```
aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{}"
```
작업 인력에 대해 설명하고 그 상태가 `Updating`인지 확인하세요.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"Status": "Updating"
}
}
```
Amazon VPC 콘솔로 이동하세요. 왼쪽 창에서 **엔드포인트**를 선택하세요. 이 2개의 VPC 엔드포인트는 삭제해야 합니다.
## VPC로 액세스를 유지하는 동시에 작업자 포털에 대한 공개 액세스 제한
VPC 내부 또는 VPC 외 작업자 포털의 작업자는 본인에게 할당된 레이블 지정 작업을 확인할 수 있습니다. 이러한 배정은 OIDC 그룹을 통해 작업팀에 작업자를 배정함으로써 이뤄집니다. 작업 인력에서 `sourceIpConfig`을(를) 설정하여 퍼블릭 작업자 포털에 대한 액세스를 제한하는 것은 고객의 책임입니다.
**참고**
해당 작업자 포털에 대한 액세스 제한은 SageMaker API를 통해서만 가능합니다. 콘솔에서는 이 작업을 수행할 수 없습니다.
다음 명령을 사용하여 작업자 포털에 대한 퍼블릭 액세스를 제한하세요.
```
aws sagemaker update-workforce --region us-west-2 \
--workforce-name workforce-demo --source-ip-config '{"Cidrs":["10.0.0.0/16"]}'
```
작업 인력에 `sourceIpConfig`을(를) 설정하고 나면 작업자가 VPC로는 작업자 포털에 액세스할 수 있지만, 공용 인터넷으로는 액세스할 수 없습니다.
**참고**
VPC에서는 작업자 포털에 대한 `sourceIP` 제한을 설정할 수 없습니다.