Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwendung von Amazon SageMaker Ground Truth in einer Amazon Virtual Private Cloud
Mit [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) können Sie AWS Ressourcen in einem logisch isolierten virtuellen Netzwerk starten, das Sie definieren. Mit Ground Truth können Sie Kennzeichnungsaufträge innerhalb einer Amazon-VPC ausführen, anstatt eine Verbindung über das Internet herzustellen. Wenn Sie einen Labeling-Job in einer Amazon VPC starten, erfolgt die Kommunikation zwischen Ihrer VPC und Ground Truth vollständig und sicher innerhalb des AWS Netzwerks.
Dieses Handbuch zeigt, wie Sie Ground Truth in einer Amazon VPC auf folgende Weise verwenden können:
1. [Führen Sie einen Amazon SageMaker Ground Truth Labeling-Job in einer Amazon Virtual Private Cloud aus](samurai-vpc-labeling-job.md)
1. [Verwenden Sie den Amazon VPC-Modus von einem Private Worker-Portal aus](samurai-vpc-worker-portal.md)
# Führen Sie einen Amazon SageMaker Ground Truth Labeling-Job in einer Amazon Virtual Private Cloud aus
Ground Truth unterstützt die folgenden Funktionen in Amazon VPC.
+ Sie können Amazon S3 S3-Bucket-Richtlinien verwenden, um den Zugriff auf Buckets von bestimmten Amazon VPC-Endpunkten oder bestimmten zu kontrollieren. VPCs Wenn Sie einen Labeling-Job starten und sich Ihre Eingabedaten in einem Amazon-S3-Bucket befinden, dessen Zugriff auf Benutzer in Ihrer VPC beschränkt ist, können Sie eine Bucket-Richtlinie hinzufügen, um auch einem Ground-Truth-Endpunkt die Erlaubnis zu erteilen, auf den Bucket zuzugreifen. Weitere Informationen hierzu finden Sie unter [Erlauben Sie Ground Truth den Zugriff auf VPC-eingeschränkte Amazon-S3-Buckets](#sms-vpc-permissions-s3).
+ Sie können einen [automatisierten Daten-Labeling-Job](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-automated-labeling.html) in Ihrer VPC starten. Sie verwenden eine VPC-Konfiguration, um VPC-Subnetze und Sicherheitsgruppen anzugeben. SageMaker KI verwendet diese Konfiguration, um die Trainings- und Inferenzjobs zu starten, die für die automatische Datenkennzeichnung in Ihrer VPC verwendet werden. Weitere Informationen hierzu finden Sie unter [Erstellen eines automatisierten Datenetikettierungsauftrags in einer VPC](#sms-vpc-permissions-automated-labeling).
Sie können diese Optionen auf eine der folgenden Arten verwenden.
+ Sie können beide Methoden verwenden, um einen Labeling-Job mit einem VPC-geschützten Amazon-S3-Bucket mit aktiviertem automatisierten Daten-Labeling zu starten.
+ Sie können einen Labeling-Job mit jedem [integrierten Aufgabentyp](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html) starten, der einen VPC-geschützten Bucket verwendet.
+ Sie können einen [benutzerdefinierten Label-Workflow](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html) mit einem VPC-geschützten Bucket starten. Ground Truth interagiert mit Ihren Lambda-Funktionen vor und nach der Annotation über einen [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/endpoint-services-overview.html) Endpunkt.
Wir empfehlen Ihnen, dies zu überprüfen, [Voraussetzungen für die Ausführung eines Ground-Truth-Kennzeichnungsauftrags in einer VPC](#sms-vpc-gt-prereq) bevor Sie einen Labeling-Job in einer Amazon VPC erstellen.
## Voraussetzungen für die Ausführung eines Ground-Truth-Kennzeichnungsauftrags in einer VPC
Überprüfen Sie die folgenden Voraussetzungen, bevor Sie einen Ground-Truth-Labeling-Auftrag in einer Amazon VPC erstellen.
+ Wenn Sie ein neuer Benutzer von Ground Truth sind, lesen Sie den Artikel [Erste Schritte](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-getting-started.html), um zu erfahren, wie Sie einen Labeling-Auftrag erstellen.
+ Wenn sich Ihre Eingabedaten in einem VPC-geschützten Amazon-S3-Bucket befinden, müssen Ihre Mitarbeiter von Ihrer VPC aus auf das Worker-Portal zugreifen. VPC-basierte Kennzeichnungsaufträge erfordern den Einsatz eines privaten Arbeitsteams. Weitere Informationen zum Erstellen eines privaten Arbeitsteams finden Sie unter [Private Arbeitskraft einsetzen](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private.html).
+ Die folgenden Voraussetzungen sind spezifisch für das Starten eines Kennzeichnungsauftrags in Ihrer VPC.
+ Folgen Sie den Anweisungen unter [Erstellen eines Amazon S3-VPC-Endpunkts](https://docs.aws.amazon.com/sagemaker/latest/dg/train-vpc.html#train-vpc-s3). Trainings- und Inferenzcontainer, die im automatisierten Daten-Labeling-Workflow verwendet werden, verwenden diesen Endpunkt, um mit Ihren Buckets in Amazon S3 zu kommunizieren.
+ Weitere Informationen zu dieser Funktion finden Sie unter [Automatisiertes Daten-Labeling](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-automated-labeling.html). Beachten Sie, dass das automatische Daten-Labeling für die folgenden [integrierten Aufgabentypen](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html) unterstützt wird: [Image-Klassifizierung (Single Label)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-image-classification.html), [Semantische Image-Segmentierung](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-semantic-segmentation.html), [Bounding Box](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-bounding-box.html) und [Textklassifizierung (Single Label)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-text-classification.html). Streaming-Labeling-Jobs unterstützen kein automatisches Daten-Labeling.
+ Lesen Sie den Abschnitt [Ground Truth Sicherheit und Berechtigungen](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-security-general.html) und stellen Sie sicher, dass Sie die folgenden Bedingungen erfüllt haben.
+ Der Benutzer, der den Labeling-Job erstellt, verfügt über alle erforderlichen Berechtigungen
+ Sie haben eine IAM-Ausführungsrolle mit den erforderlichen Berechtigungen erstellt. Wenn Sie für Ihren Anwendungsfall keine genau abgestimmten Berechtigungen benötigen, empfehlen wir Ihnen, die unter [Erteilen Sie allgemeine Berechtigungen, um mit Ground Truth zu beginnen](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-security-permission.html#sms-security-permissions-get-started).
+ Erlauben Sie Ihrer VPC den Zugriff auf die `sagemaker-labeling-data-region` und `sm-bxcb-region-saved-task-states` S3 Buckets. Dabei handelt es sich um systemeigene, regionalisierte S3-Buckets, auf die über das Worker-Portal zugegriffen wird, wenn der Worker an einer Aufgabe arbeitet. Wir verwenden diese Buckets, um mit systemverwalteten Daten zu interagieren.
## Erlauben Sie Ground Truth den Zugriff auf VPC-eingeschränkte Amazon-S3-Buckets
In den folgenden Abschnitten finden Sie Einzelheiten zu den Berechtigungen, die Ground Truth benötigt, um Labeling-Jobs mit Amazon-S3-Buckets zu starten, deren Zugriff auf Ihre VPC und VPC-Endpunkte beschränkt ist. Informationen zum Beschränken des Zugriffs auf einen Amazon-S3-Bucket auf eine VPC finden Sie unter [Steuern des Zugriffs von VPC-Endpunkten mit Bucket-Richtlinien](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html) im Benutzerhandbuch zu Amazon Simple Storage Service. Informationen zum Hinzufügen einer Richtlinie zu einem S3-Bucket finden Sie unter [Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html).
**Anmerkung**
Das Ändern von Richtlinien für bestehende Buckets kann dazu führen, dass `IN_PROGRESS` Ground-Truth-Jobs fehlschlagen. Wir empfehlen Ihnen, neue Jobs mit einem neuen Bucket zu starten. Wenn Sie weiterhin denselben Bucket verwenden möchten, können Sie eine der folgenden Aktionen durchführen.
Warten Sie, bis ein `IN_PROGRESS` Job abgeschlossen ist.
Beenden Sie den Job mit der Konsole oder dem AWS CLI.
Sie können den Amazon-S3-Bucket-Zugriff auf Benutzer in Ihrer VPC mithilfe eines [AWS PrivateLink](https://aws.amazon.com/privatelink/)Endpunkts einschränken. Die folgende S3-Bucket-Richtlinie erlaubt zum Beispiel den Zugriff auf einen bestimmten Bucket, ``, nur von `` und dem Endpunkt ``. Wenn Sie diese Richtlinie ändern, müssen Sie alle *red-italized text* durch Ihre Ressourcen und Spezifikationen ersetzen.
**Anmerkung**
Die folgende Richtlinie *verweigert* allen Entitäten *außer* Benutzern innerhalb einer VPC die Durchführung der unter `Action` aufgeführten Aktionen. Wenn Sie Aktionen nicht in diese Liste aufnehmen, sind sie dennoch für jede Entität zugänglich, die Zugriff auf diesen Bucket und die Berechtigung hat, diese Aktionen auszuführen. Wenn ein Benutzer beispielsweise berechtigt ist, in Ihrem `GetBucketLocation` Amazon-S3-Bucket etwas auszuführen, schränkt die folgende Richtlinie den Benutzer nicht daran ein, diese Aktion außerhalb Ihrer VPC auszuführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Policy1415115909152",
"Statement": [
{
"Sid": "AccessToSpecificVPCEOnly",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": [
"vpce-12345678",
"vpce-12345678901234567"
]
}
}
}
]
}
```
------
Ground Truth muss in der Lage sein, die folgenden Amazon S3-Aktionen für die S3-Buckets durchzuführen, die Sie zur Konfiguration des Labeling-Jobs verwenden.
```
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketLocation"
```
Sie können dies tun, indem Sie der Bucket-Richtlinie einen Ground-Truth-Endpunkt hinzufügen, wie der zuvor erwähnte. Die folgende Tabelle enthält Ground Truth Service-Endpunkte für jede AWS Region. Fügen Sie Ihrer Bucket-Richtlinie einen Endpunkt in derselben [AWS -Region](https://docs.aws.amazon.com/general/latest/gr/rande.html) hinzu, in der Sie Ihren Labeling-Job ausführen.
****
| AWS Region | Ground Truth |
| --- | --- |
| us-east-2 | vpce-02569ba1c40aad0bc |
| us-east-1 | vpce-08408e335ebf95b40 |
| us-west-2 | vpce-0ea07aa498eb78469 |
| ca-central-1 | vpce-0d46ea4c9ff55e1b7 |
| eu-central-1 | vpce-0865e7194a099183d |
| eu-west-2 | vpce-0bccd56798f4c5df0 |
| eu-west-1 | vpce-0788e7ed8628e595d |
| ap-south-1 | vpce-0d7fcda14e1783f11 |
| ap-southeast-2 | vpce-0b7609e6f305a77d4 |
| ap-southeast-1 | vpce-0e7e67b32e9efed27 |
| ap-northeast-2 | vpce-007893f89e05f2bbf |
| ap-northeast-1 | vpce-0247996a1a1807dbd |
Die folgende Richtlinie schränkt zum Beispiel ein und führt Aktionen durch: `GetObject` `PutObject`
+ Ein Amazon-S3-Bucket für Benutzer in einer VPC () ``
+ Ein VPC-Endpunkt (``)
+ Ein Ground-Truth-Dienstendpunkt (``)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "1",
"Statement": [
{
"Sid": "DenyAccessFromNonGTandCustomerVPC",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-12345678",
"aws:sourceVpce": [
"vpce-12345678",
"vpce-12345678"
]
}
}
}
]
}
```
------
Wenn Sie möchten, dass ein Benutzer berechtigt ist, einen Labeling-Auftrag über die Ground-Truth-Konsole zu starten, müssen Sie unter Verwendung der `aws:PrincipalArn` Bedingung auch den ARN des Benutzers zur Bucket-Richtlinie hinzufügen. Dieser Benutzer muss außerdem berechtigt sein, die folgenden Amazon S3-Aktionen für den Bucket auszuführen, den Sie zum Starten des Labeling-Aufträge verwenden.
```
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketCors",
"s3:PutBucketCors",
"s3:ListAllMyBuckets",
```
Der folgende Code ist ein Beispiel für eine Bucket-Richtlinie, die die Erlaubnis zur Ausführung der im S3-Bucket `` aufgeführten Aktionen `Action` auf die folgenden beschränkt.
+ **
+ Die VPC-Endpunkte, die unter aufgeführt sind `aws:sourceVpce`
+ Benannte Benutzer innerhalb der VPC **
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "1",
"Statement": [
{
"Sid": "DenyAccessFromNonGTandCustomerVPC",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*",
"arn:aws:s3:::bucket-name"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-12345678",
"aws:PrincipalArn": "arn:aws:iam::111122223333:role/role-name"
},
"StringNotEquals": {
"aws:sourceVpce": [
"vpce-12345678",
"vpce-12345678"
]
}
}
}
]
}
```
------
**Anmerkung**
Die Endpunkte der Amazon VPC-Schnittstelle und die geschützten Amazon S3 S3-Buckets, die Sie für Eingabe- und Ausgabedaten verwenden, müssen sich in derselben AWS Region befinden, in der Sie den Labeling-Job erstellen.
Nachdem Sie Ground Truth die Erlaubnis erteilt haben, auf Ihre Amazon-S3-Buckets zuzugreifen, können Sie eines der Themen unter [Labeling-Job](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-create-labeling-job.html) erstellen verwenden, um einen Labeling-Job zu starten. Geben Sie die VPC-beschränkten Amazon-S3-Buckets für Ihre Eingabe- und Ausgabe-Daten-Buckets an.
## Erstellen eines automatisierten Datenetikettierungsauftrags in einer VPC
Um einen automatisierten Daten-Labeling-Job mit einer Amazon VPC zu erstellen, stellen Sie mithilfe der Ground-Truth-Konsole oder des `CreateLabelingJob`-API-Vorgangs eine VPC-Konfiguration bereit. SageMaker KI verwendet die von Ihnen bereitgestellten Subnetze und Sicherheitsgruppen, um die für die automatische Kennzeichnung verwendeten Schulungs- und Inferenzaufgaben zu starten.
**Wichtig**
Bevor Sie einen automatisierten Daten-Beschriftungsauftrag mit einer VPC-Konfiguration starten, stellen Sie sicher, dass Sie einen Amazon S3-VPC-Endpunkt mit der VPC erstellt haben, die Sie für den Labeling-Job verwenden möchten. Wie das geht, erfahren Sie unter [Erstellen eines Amazon S3-VPC-Endpunkts](https://docs.aws.amazon.com/sagemaker/latest/dg/train-vpc.html#train-vpc-s3).
Wenn Sie einen automatisierten Daten-Labeling-Job mit einem VPC-beschränkten Amazon-S3-Bucket erstellen, müssen Sie außerdem den Anweisungen unter [Erlauben Sie Ground Truth den Zugriff auf VPC-eingeschränkte Amazon-S3-Buckets](#sms-vpc-permissions-s3) folgen, um Ground Truth die Erlaubnis für den Zugriff auf den Bucket zu erteilen.
Verwenden Sie die folgenden Verfahren, um zu erfahren, wie Sie Ihrer Labeling-Job-Anfrage eine VPC-Konfiguration hinzufügen.
**Fügen Sie einer automatisierte Daten-Labeling-Aufgabe (Konsole) eine VPC-Konfiguration hinzu:**
1. Folgen Sie den Anweisungen unter [Einen Labeling-Job erstellen (Konsole)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-create-labeling-job-console.html) und führen Sie jeden Schritt des Verfahrens aus, bis zu Schritt 15.
1. Aktivieren Sie im Bereich **Auftragnehmer** das Kontrollkästchen neben **Automatisiertes Daten-Labeling aktivieren**.
1. Maximieren Sie den **VPC-Konfigurationsbereich** der Konsole, indem Sie den Pfeil auswählen.
1. Geben Sie die **Virtual Private Cloud (VPC)** an, die Sie für Ihr automatisiertes Daten-Labeling verwenden möchten.
1. Wählen Sie die Dropdown-Liste unter **Subnetze** und wählen Sie ein oder mehrere Subnetze aus.
1. Wählen Sie die Dropdown-Liste unter **Sicherheitsgruppen** und wählen Sie eine oder mehrere Gruppen aus.
1. Schließen Sie alle verbleibenden Schritte des Verfahrens unter Einen [Labeling-Job erstellen (Konsole)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-create-labeling-job-console.html) ab.
**Fügen Sie einer automatisierten Daten-Labeling-Aufgabe (API) eine VPC-Konfiguration hinzu:**
Um einen Labeling-Job mithilfe des Ground-Truth-API-Vorgangs, `CreateLabelingJob`, zu konfigurieren, folgen Sie den Anweisungen unter [Erstellen eines automatisierten Daten-Labeling-Jobs (API)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-automated-labeling.html#sms-create-automated-labeling-api), um Ihre Anfrage zu konfigurieren. Zusätzlich zu den in dieser Dokumentation beschriebenen Parametern müssen Sie einen `VpcConfig` Parameter in `LabelingJobResourceConfig` angeben, um ein oder mehrere Subnetze und Sicherheitsgruppen mithilfe des folgenden Schemas anzugeben.
```
"LabelingJobAlgorithmsConfig": {
"InitialActiveLearningModelArn": "string",
"LabelingJobAlgorithmSpecificationArn": "string",
"LabelingJobResourceConfig": {
"VolumeKmsKeyId": "string",
"VpcConfig": {
"SecurityGroupIds": [ "string" ],
"Subnets": [ "string" ]
}
}
}
```
Im Folgenden finden Sie ein Beispiel für eine [AWS Python-SDK-Anfrage (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sagemaker.html#SageMaker.Client.create_labeling_job) zur Erstellung eines automatisierten Daten-Labeling-Jobs in der Region USA Ost (Nord-Virginia) mithilfe einer privaten Belegschaft. Ersetzen Sie alle *red-italicized text* durch Ihre Ressourcen und Spezifikationen für Etikettierungsaufgaben. Weitere Informationen zu diesem `CreateLabelingJob` Vorgang finden Sie im Tutorial [Create a Labeling Job (API)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-create-labeling-job-api.html) und in der [CreateLabelingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html)API-Dokumentation.
```
import boto3
client = boto3.client(service_name='sagemaker')
response = client.create_labeling_job(
LabelingJobName="example-labeling-job",
LabelAttributeName="label",
InputConfig={
'DataSource': {
'S3DataSource': {
'ManifestS3Uri': "s3://bucket/path/manifest-with-input-data.json"
}
}
},
"LabelingJobAlgorithmsConfig": {
"LabelingJobAlgorithmSpecificationArn": "arn:aws:sagemaker:us-east-1:027400017018:labeling-job-algorithm-specification/tasktype",
"LabelingJobResourceConfig": {
"VpcConfig": {
"SecurityGroupIds": [ "sg-01233456789", "sg-987654321" ],
"Subnets": [ "subnet-e0123456", "subnet-e7891011" ]
}
}
},
OutputConfig={
'S3OutputPath': "s3://bucket/path/file-to-store-output-data",
'KmsKeyId': "string"
},
RoleArn="arn:aws:iam::*:role/*,
LabelCategoryConfigS3Uri="s3://bucket/path/label-categories.json",
StoppingConditions={
'MaxHumanLabeledObjectCount': 123,
'MaxPercentageOfInputDatasetLabeled': 123
},
HumanTaskConfig={
'WorkteamArn': "arn:aws:sagemaker:region:*:workteam/private-crowd/*",
'UiConfig': {
'UiTemplateS3Uri': "s3://bucket/path/custom-worker-task-template.html"
},
'PreHumanTaskLambdaArn': "arn:aws:lambda:us-east-1:432418664414:function:PRE-tasktype",
'TaskKeywords': [
"Images",
"Classification",
"Multi-label"
],
'TaskTitle': "Add task title here",
'TaskDescription': "Add description of task here for workers",
'NumberOfHumanWorkersPerDataObject': 1,
'TaskTimeLimitInSeconds': 3600,
'TaskAvailabilityLifetimeInSeconds': 21600,
'MaxConcurrentTaskCount': 1000,
'AnnotationConsolidationConfig': {
'AnnotationConsolidationLambdaArn': "arn:aws:lambda:us-east-1:432418664414:function:ACS-tasktype"
},
Tags=[
{
'Key': "string",
'Value': "string"
},
]
)
```
# Verwenden Sie den Amazon VPC-Modus von einem Private Worker-Portal aus
Um den Zugriff auf das Worker-Portal auf Labeler zu beschränken, die in Ihrer Amazon VPC arbeiten, können Sie eine VPC-Konfiguration hinzufügen, wenn Sie eine private Ground-Truth-Arbeitskraft erstellen. Sie können einer vorhandenen privaten Arbeitskraft auch eine VPC-Konfiguration hinzufügen. Ground Truth erstellt automatisch VPC-Schnittstellenendpunkte in Ihrer VPC und richtet sie AWS PrivateLink zwischen Ihrem VPC-Endpunkt und den Ground-Truth-Diensten ein. Auf die der Arbeitskraft zugeordnete URL des Worker-Portals kann von Ihrer VPC aus zugegriffen werden. Auf die URL des Worker-Portals kann auch über das öffentliche Internet zugegriffen werden, bis Sie die Einschränkung für das öffentliche Internet festlegen. Wenn Sie die Arbeitskraft löschen oder die VPC-Konfiguration aus Ihrer Arbeitskraft entfernen, löscht Ground Truth automatisch die VPC-Endpunkte, die der Arbeitskraft zugeordnet sind.
**Anmerkung**
Für eine Arbeitskraft kann nur eine VPC unterstützt werden.
[Punktwolken](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-point-cloud.html) – und [Videoaufgaben](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-video.html) unterstützen das Laden über eine VPC nicht.
Der Leitfaden zeigt, wie Sie die erforderlichen Schritte ausführen, um Ihrer Arbeitskraft eine Amazon VPC-Konfiguration hinzuzufügen und zu löschen und die Voraussetzungen zu erfüllen.
## Voraussetzungen
Um einen Ground-Truth-Labeling-Auftrag in Amazon VPC auszuführen, überprüfen Sie die folgenden Voraussetzungen.
+ Sie haben eine Amazon VPC konfiguriert, die Sie verwenden können. Wenn Sie keine VPC konfiguriert haben, folgen Sie diesen Anweisungen zum [Erstellen einer VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#interface-endpoint-shared-subnets).
+ Je nachdem, wie eine [Worker-Aufgabenvorlage](https://docs.aws.amazon.com/sagemaker/latest/dg/a2i-instructions-overview.html) geschrieben ist, kann bei Labeling-Aufgaben direkt von Amazon S3 aus auf die in einem Amazon-S3-Bucket gespeicherten Kennzeichnungsdaten zugegriffen werden. In diesen Fällen muss das VPC-Netzwerk so konfiguriert werden, dass Datenverkehr von dem vom menschlichen Labeler verwendeten Gerät zum S3-Bucket mit den Labeling-Daten zugelassen wird.
+ Folgen Sie [Anzeigen und Aktualisieren von DNS-Attributen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating), um DNS-Hostnamen und die DNS-Auflösung für Ihre VPC zu aktivieren.
**Anmerkung**
Es gibt zwei Möglichkeiten, um Ihre VPC für Ihre Arbeitskraft zu konfigurieren. Sie können dies über die [Konsole](https://console.aws.amazon.com/sagemaker) oder die AWS SageMaker [KI-CLI](https://aws.amazon.com/cli/) tun.
# Verwenden der SageMaker AI-Konsole zur Verwaltung einer VPC-Konfiguration
Sie können die [SageMaker AI-Konsole](https://console.aws.amazon.com/sagemaker) verwenden, um eine VPC-Konfiguration hinzuzufügen oder zu entfernen. Sie können eine bestehende Arbeitskraft auch löschen.
## Hinzufügen einer VPC-Konfiguration zu Ihrer Arbeitskraft
### Erstellen von privaten Arbeitskräften
+ [Erstellen Sie eine private Arbeitskraft mit Amazon Cognito](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private-use-cognito.html)
+ [Richten Sie mithilfe von OpenID Connect (OIDC) Identity Provider (IdP) eine private Arbeitskraft](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private-use-oidc.html) ein.
Nachdem Sie Ihre private Arbeitskraft erstellt haben, fügen Sie ihr eine VPC-Konfiguration hinzu.
1. Navigieren Sie in Ihrer Konsole zu [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker).
1. Wählen Sie im linken Bereich die Option **Arbeitskraft kennzeichnen** aus.
1. Wählen Sie **Privat** aus, um auf Ihre privaten Mitarbeiter zuzugreifen. Wenn Ihr **Status der Arbeitskraft** **Aktiv** lautet, wählen Sie neben **VPC** die Option **Hinzufügen** aus.
1. Wenn Sie aufgefordert werden, Ihre VPC zu konfigurieren, geben Sie Folgendes an:
1. Ihre **VPC**
1. **Subnets**
1. Stellen Sie sicher, dass Ihre VPC über ein vorhandenes Subnetz verfügt
1. **Sicherheitsgruppen**
1.
**Anmerkung**
Sie können nicht mehr als 5 Sicherheitsgruppen auswählen.
1. Nachdem Sie diese Informationen eingegeben haben, wählen Sie **Bestätigen**.
1. Nachdem Sie **Bestätigen** ausgewählt haben, werden Sie zurück zur **privaten** Seite unter **Kennzeichnung von Arbeitskräften** weitergeleitet. Oben sollte ein grünes Banner mit der Aufschrift **Ihre private Arbeitskraft-Aktualisierung mit VPC-Konfiguration wurde erfolgreich initialisiert** zu sehen sein. Der Personalstatus ist **Wird aktualisiert.** Neben der Schaltfläche **Arbeitskraft löschen** befindet sich die Schaltfläche **Aktualisieren**, mit der Sie den aktuellen **Status der Arbeitskraft** abrufen können. Nachdem der Personalstatus auf **Aktiv** geändert wurde, wird auch die VPC-Endpunkt-ID aktualisiert.
## Entfernen einer VPC-Konfiguration aus Ihrer Arbeitskraft
Verwenden Sie die folgenden Informationen, um mithilfe der Konsole eine VPC-Konfiguration von Ihren Mitarbeitern zu entfernen.
1. Navigieren Sie in Ihrer Konsole zu [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker).
1. Wählen Sie im linken Bereich die Option **Kennzeichnung von Arbeitskräften** aus.
1. Suchen Sie Ihre Arbeitskraft und wählen Sie sie aus.
1. Suchen Sie unter **Zusammenfassung der privaten Arbeitskraft** nach **VPC** und wählen Sie daneben **Entfernen** aus.
1. Wählen Sie **Entfernen** aus.
## Löschen einer Arbeitskraft über die Konsole
Wenn Sie eine Arbeitskraft löschen, sollten ihr keine Teams zugeordnet sein. Sie können eine Arbeitskraft nur löschen, wenn der Personalstatus **Aktiv** oder **Fehlgeschlagen** lautet.
Verwenden Sie die folgenden Informationen, um eine Arbeitskraft mithilfe der Konsole zu löschen.
1. Navigieren Sie in Ihrer Konsole zu [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker).
1. Wählen Sie im linken Bereich die Option **Kennzeichnung von Arbeitskräften** aus.
1. Suchen Sie Ihre Arbeitskraft und wählen Sie sie aus.
1. Wählen Sie **Arbeitskraft löschen**.
1. Wählen Sie **Löschen**.
# Verwenden der SageMaker AWS KI-API zur Verwaltung einer VPC-Konfiguration
Verwenden Sie die folgenden Abschnitte, um mehr über die Verwaltung einer VPCs Konfiguration zu erfahren und gleichzeitig den richtigen Zugriff auf das Arbeitsteam zu gewährleisten.
## Erstellen Sie eine Arbeitskraft mit einer VPC-Konfiguration
Wenn das Konto bereits Arbeitskraft hat, müssen Sie es zuerst löschen. Sie können die Arbeitskraft auch mit der VPC-Konfiguration aktualisieren.
```
aws sagemaker create-workforce --cognito-config '{"ClientId": "app-client-id","UserPool": "Pool_ID",}' --workforce-vpc-config \
" {\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}" --workforce-name workforce-name
{
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name"
}
```
Beschreiben Sie die Arbeitskraft und stellen Sie sicher, dass der Status `Initializing` lautet.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"WorkforceVpcConfig": {
"VpcId": "vpc-id",
"SecurityGroupIds": [
"sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0"
]
},
"Status": "Initializing"
}
}
```
Navigieren Sie zur Amazon-VPC-Konsole. Wählen Sie im linken Bereich **Endpunkte** aus. In Ihrem Konto sollten zwei VPC-Endpunkte erstellt werden.
## Hinzufügen einer VPC-Konfiguration für Ihre Arbeitskraft
Aktualisieren Sie private Mitarbeiter, die nicht zu VPC gehören, mithilfe des folgenden Befehls mit einer VPC-Konfiguration.
```
aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}"
```
Beschreiben Sie die Arbeitskraft und stellen Sie sicher, dass der Status `Updating` lautet.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"WorkforceVpcConfig": {
"VpcId": "vpc-id",
"SecurityGroupIds": [
"sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0"
]
},
"Status": "Updating"
}
}
```
Navigieren Sie zu Ihrer Amazon VPC-Konsole. Wählen Sie im linken **Bereich Endpunkte** aus. In Ihrem Konto sollten zwei VPC-Endpunkte erstellt werden.
## Entfernen einer VPC-Konfiguration aus Ihrer Arbeitskraft
Aktualisieren Sie eine private VPC-Arbeitskraft mit einer leeren VPC-Konfiguration, um VPC-Ressourcen zu entfernen.
```
aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{}"
```
Beschreiben Sie die Arbeitskraft und stellen Sie sicher, dass der Status `Updating` lautet.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"Status": "Updating"
}
}
```
Navigieren Sie zu Ihrer Amazon VPC-Konsole. Wählen Sie im linken **Bereich Endpunkte** aus. Die beiden VPC-Endpoints sollten gelöscht werden.
## Beschränken Sie den öffentlichen Zugriff auf das Worker-Portal und behalten Sie gleichzeitig den Zugriff über eine VPC bei
Die Mitarbeiter in einem VPC- oder Nicht-VPC-Worker-Portal können die ihnen zugewiesenen Labeling-Job-Aufgaben sehen. Die Zuweisung erfolgt durch die Zuweisung von Mitarbeitern in einem Arbeitsteam über OIDC-Gruppen. Es liegt in der Verantwortung des Kunden, den Zugang zu seinem öffentlichen Worker-Portal zu beschränken, indem er `sourceIpConfig` in seiner Arbeitskraft einstellt.
**Anmerkung**
Sie können den Zugriff auf das Worker-Portal nur über die SageMaker API einschränken. Dies kann nicht über die Konsole erfolgen.
Verwenden Sie den folgenden Befehl, um den öffentlichen Zugriff auf das Worker-Portal einzuschränken.
```
aws sagemaker update-workforce --region us-west-2 \
--workforce-name workforce-demo --source-ip-config '{"Cidrs":["10.0.0.0/16"]}'
```
Sobald das `sourceIpConfig` für die Arbeitskraft festgelegt ist, können die Mitarbeiter in VPC auf das Worker-Portal zugreifen, jedoch nicht über das öffentliche Internet.
**Anmerkung**
Sie können die `sourceIP` Einschränkung für das Worker-Portal in VPC nicht festlegen.