As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Usando a AWS API de SageMaker IA para gerenciar uma configuração de VPC
<a name="samurai-vpc-workforce-cli"></a>

Use as seções a seguir para saber mais sobre como gerenciar uma VPCs configuração e, ao mesmo tempo, manter o nível certo de acesso à equipe de trabalho.

## Crie uma força de trabalho com uma configuração da VPC
<a name="samurai-create-vpc-cli"></a>

Se a conta já tiver uma força de trabalho, você deverá excluí-la primeiro. Você também pode atualizar a força de trabalho com a configuração da VPC.

```
aws sagemaker create-workforce --cognito-config '{"ClientId": "app-client-id","UserPool": "Pool_ID",}' --workforce-vpc-config \       
" {\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}" --workforce-name workforce-name
{
    "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name"
}
```

Descreva a força de trabalho e verifique se o status é `Initializing`.

```
aws sagemaker describe-workforce --workforce-name workforce-name
{
    "Workforce": {
        "WorkforceName": "workforce-name",
        "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
        "LastUpdatedDate": 1622151252.451,
        "SourceIpConfig": {
            "Cidrs": []
        },
        "SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
        "CognitoConfig": {
            "UserPool": "Pool_ID",
            "ClientId": "app-client-id"
        },
        "CreateDate": 1622151252.451,
        "WorkforceVpcConfig": {
            "VpcId": "vpc-id",
            "SecurityGroupIds": [
                "sg-0123456789abcdef0"
            ],
            "Subnets": [
                "subnet-0123456789abcdef0"
            ]
        },
        "Status": "Initializing"
    }
}
```

Navegue até o console do Amazon VPC. Selecione **Endpoints** no painel esquerdo. Deve haver dois endpoints da VPC criados na sua conta.

## Adicionar uma configuração da VPC à sua força de trabalho
<a name="samurai-add-vpc-cli"></a>

Atualize uma força de trabalho privada que não seja da VPC com uma configuração da VPC usando o comando a seguir.

```
aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}"
```

Descreva a força de trabalho e verifique se o status é `Updating`.

```
aws sagemaker describe-workforce --workforce-name workforce-name
{
    "Workforce": {
        "WorkforceName": "workforce-name",
        "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
        "LastUpdatedDate": 1622151252.451,
        "SourceIpConfig": {
            "Cidrs": []
        },
        "SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
        "CognitoConfig": {
            "UserPool": "Pool_ID",
            "ClientId": "app-client-id"
        },
        "CreateDate": 1622151252.451,
        "WorkforceVpcConfig": {
            "VpcId": "vpc-id",
            "SecurityGroupIds": [
                "sg-0123456789abcdef0"
            ],
            "Subnets": [
                "subnet-0123456789abcdef0"
            ]
        },
        "Status": "Updating"
    }
}
```

Navegue até o console do Amazon VPC. Selecione **Endpoints** no painel esquerdo. Deve haver dois endpoints da VPC criados na sua conta.

## Removendo uma configuração da VPC da sua força de trabalho
<a name="samurai-remove-vpc-cli"></a>

Atualize uma força de trabalho privada da VPC com uma configuração da VPC vazia para remover os recursos da VPC.

```
aws sagemaker update-workforce --workforce-name workforce-name\ 
--workforce-vpc-config "{}"
```

Descreva a força de trabalho e verifique se o status é `Updating`.

```
aws sagemaker describe-workforce --workforce-name workforce-name
{
    "Workforce": {
        "WorkforceName": "workforce-name",
        "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
        "LastUpdatedDate": 1622151252.451,
        "SourceIpConfig": {
            "Cidrs": []
        },
        "SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
        "CognitoConfig": {
            "UserPool": "Pool_ID",
            "ClientId": "app-client-id"
        },
        "CreateDate": 1622151252.451,
        "Status": "Updating"
    }
}
```

Navegue até o seu console do Amazon VPC. Selecione **Endpoints** no painel esquerdo. Os dois endpoints da VPC devem ser excluídos.

## Restrinja o acesso público ao portal do operador enquanto mantém o acesso por meio de uma VPC
<a name="public-access-vpc"></a>

 Os operadores em um portal de operador VPC ou não VPC podem ver os trabalhos de rotulagem atribuídos a eles. A atribuição vem da atribuição de operadores em uma equipe de trabalho por meio de grupos OIDC. É responsabilidade do cliente restringir o acesso aos seus portais público de operadores, definindo o `sourceIpConfig` em sua força de trabalho. 

**nota**  
Você pode restringir o acesso ao portal do trabalhador somente por meio da SageMaker API. Isso não pode ser feito por meio do console.

Use o comando a seguir para restringir o acesso público ao portal de operadores.

```
aws sagemaker update-workforce --region us-west-2 \
--workforce-name workforce-demo --source-ip-config '{"Cidrs":["10.0.0.0/16"]}'
```

Depois que o `sourceIpConfig` for configurado na força de trabalho, os operadores podem acessar o portal de operadores na VPC, mas não pela Internet pública.

**nota**  
Você não pode definir a restrição `sourceIP` para o portal de operadores na VPC.