Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Utilice el modo Amazon VPC desde un portal privado para trabajadores
<a name="samurai-vpc-worker-portal"></a>

Para restringir el acceso al portal para trabajadores a los etiquetadores que trabajan dentro de su Amazon VPC, puede añadir una configuración de VPC al crear un personal privado de Ground Truth. También puede añadir una configuración de VPC a un personal privado existente. Ground Truth crea automáticamente los puntos de conexión de la interfaz de VPC en su VPC y establece AWS PrivateLink entre su punto de conexión de VPC y los servicios de Ground Truth. Es posible acceder a la URL del portal para trabajadores asociada al personal desde su VPC. También se puede acceder a la URL del portal para trabajadores desde la Internet pública hasta que establezca la restricción en la Internet pública. Si elimina el personal o elimina la configuración de VPC de su personal, Ground Truth eliminará automáticamente los puntos de conexión de VPC asociados a dicho personal.

**nota**  
Solo se admite una VPC para cada personal.

Las tareas de [nube de puntos](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-point-cloud.html) y [vídeo](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-video.html) no admiten la carga a través de una VPC.

La guía muestra cómo completar los pasos necesarios para añadir y eliminar una configuración de Amazon VPC de su personal y cómo cumplir los requisitos previos.

## Requisitos previos
<a name="samurai-vpc-getting-started-prerequisites"></a>

Para ejecutar un trabajo de etiquetado de Ground Truth en Amazon VPC, revise los siguientes requisitos previos.
+ Tiene una Amazon VPC configurada que puede usar. Si no ha configurado una VPC, siga estas instrucciones para [crear una VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#interface-endpoint-shared-subnets).
+ En función de cómo se haya redactado la [plantilla de tareas del trabajador](https://docs.aws.amazon.com/sagemaker/latest/dg/a2i-instructions-overview.html), se podrá acceder directamente desde Amazon S3 a los datos de etiquetado almacenados en un bucket de Amazon S3 durante las tareas de etiquetado. En estos casos, la red de VPC deberá configurarse para permitir el tráfico desde el dispositivo utilizado por el etiquetador humano hacia el bucket S3 que contiene los datos de etiquetado.
+ Siga los paso en [Ver y actualizar los atributos de DNS de su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) para habilitar los nombres de host DNS y la resolución DNS para la VPC.

**nota**  
Hay dos maneras de configurar la VPC para su personal. Puede hacerlo a través de la [consola](https://console.aws.amazon.com/sagemaker) o de la AWS SageMaker AI [CLI](https://aws.amazon.com/cli/).

# Uso de la consola de SageMaker IA para gestionar una configuración de VPC
<a name="samurai-vpc-workforce-console"></a>

Puede utilizar la [consola de SageMaker IA](https://console.aws.amazon.com/sagemaker) para añadir o eliminar una configuración de VPC. También puede eliminar un personal existente.

## Añadir una configuración de VPC a su personal
<a name="samurai-add-vpc-workforce"></a>

### Cree un personal privado
<a name="samurai-vpc-create-workforce"></a>
+ [Cree un personal privado con Amazon Cognito](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private-use-cognito.html)
+ [Cree un personal privado con el proveedor de identidades (IdP) de OpenID Connect (OIDC)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private-use-oidc.html).

Una vez creado su personal privado, añada una configuración de VPC.

1. Navegue hasta [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker) en su consola.

1. Seleccione **Personal de etiquetado** en el panel izquierdo.

1. Seleccione **Privado** para acceder a su personal privado. Cuando el **estado de su personal** sea **Activo**, seleccione **Agregar** junto a **VPC**.

1. Proporcione lo siguiente cuando se le pida lo siguiente:

   1. Su **VPC**

   1. **Subredes**

      1. Asegúrese de que su VPC tenga una subred existente

   1. **Grupos de seguridad**

      1. 
**nota**  
No puede seleccionar más de 5 grupos de seguridad.

   1. Una vez completada esta información, elija **Confirmar**.

1. Tras seleccionar **Confirmar**, se le redirigirá de nuevo a la página **Privado**, en la sección **Personal de etiquetado**. Debería ver un cartel verde en la parte superior que dice **«La actualización de su personal privado con la configuración de VPC se ha inicializado correctamente»**. **El estado del personal se está actualizando.** Junto al botón **Eliminar personal** encontrará el botón **Actualizar**, que puede usar para recuperar el **estado más reciente del personal**. Una vez que el estado del personal haya cambiado a **Activo**, también se actualizará el ID del punto de conexión de VPC.

## Eliminar una configuración de VPC de su personal
<a name="samurai-remove-vpc-workforce"></a>

Utilice la siguiente información para eliminar una configuración de VPC de su personal con la consola.

1. Navegue hasta [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker) en su consola.

1. Seleccione **Personal de etiquetado** en el panel izquierdo.

1. Busque y seleccione su personal.

1. En **Resumen del personal privado**, busque **VPC** y seleccione **Eliminar**, que se encuentra justo al lado.

1. Seleccione **Eliminar**.

## Eliminar un personal a través de la consola
<a name="samurai-delete-vpc-workforce"></a>

Si elimina un personal, no debería tener ningún equipo asociado a dicho personal. Puede eliminar un personal solo si el estado del personal es **Activo** o **Con error**.

Utilice la siguiente información para eliminar un personal con la consola.

1. Navegue hasta [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker) en su consola.

1. Seleccione **Personal de etiquetado** en el panel izquierdo.

1. Busque y seleccione su personal.

1. Selecciona **Eliminar personal**.

1. Elija **Eliminar**.

# Uso de la AWS API de SageMaker IA para administrar una configuración de VPC
<a name="samurai-vpc-workforce-cli"></a>

Utilice las siguientes secciones para obtener más información sobre la administración de una VPCs configuración y, al mismo tiempo, mantener el nivel de acceso adecuado al equipo de trabajo.

## Cree un personal con una configuración de VPC
<a name="samurai-create-vpc-cli"></a>

Si la cuenta ya tiene un personal, primero deberá eliminarlo. También puede actualizar el personal con la configuración de la VPC.

```
aws sagemaker create-workforce --cognito-config '{"ClientId": "app-client-id","UserPool": "Pool_ID",}' --workforce-vpc-config \       
" {\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}" --workforce-name workforce-name
{
    "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name"
}
```

Describa el personal y asegúrese de que el estado sea `Initializing`.

```
aws sagemaker describe-workforce --workforce-name workforce-name
{
    "Workforce": {
        "WorkforceName": "workforce-name",
        "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
        "LastUpdatedDate": 1622151252.451,
        "SourceIpConfig": {
            "Cidrs": []
        },
        "SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
        "CognitoConfig": {
            "UserPool": "Pool_ID",
            "ClientId": "app-client-id"
        },
        "CreateDate": 1622151252.451,
        "WorkforceVpcConfig": {
            "VpcId": "vpc-id",
            "SecurityGroupIds": [
                "sg-0123456789abcdef0"
            ],
            "Subnets": [
                "subnet-0123456789abcdef0"
            ]
        },
        "Status": "Initializing"
    }
}
```

Vaya a la consola de Amazon VPC. Seleccione **Puntos de conexión** en el panel izquierdo. Debe haber dos puntos de conexión de VPC creados en su cuenta.

## Añadir una configuración de VPC a su personal
<a name="samurai-add-vpc-cli"></a>

Actualice un personal privado que no sea de VPC con una configuración de VPC mediante el siguiente comando.

```
aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}"
```

Describa el personal y asegúrese de que el estado sea `Updating`.

```
aws sagemaker describe-workforce --workforce-name workforce-name
{
    "Workforce": {
        "WorkforceName": "workforce-name",
        "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
        "LastUpdatedDate": 1622151252.451,
        "SourceIpConfig": {
            "Cidrs": []
        },
        "SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
        "CognitoConfig": {
            "UserPool": "Pool_ID",
            "ClientId": "app-client-id"
        },
        "CreateDate": 1622151252.451,
        "WorkforceVpcConfig": {
            "VpcId": "vpc-id",
            "SecurityGroupIds": [
                "sg-0123456789abcdef0"
            ],
            "Subnets": [
                "subnet-0123456789abcdef0"
            ]
        },
        "Status": "Updating"
    }
}
```

Diríjase a la consola de Amazon VPC. Seleccione **Puntos de conexión** en el panel izquierdo. Debe haber dos puntos de conexión de VPC creados en su cuenta.

## Eliminar una configuración de VPC de su personal
<a name="samurai-remove-vpc-cli"></a>

Actualice un personal privado de VPC con una configuración de VPC vacía para eliminar los recursos de VPC.

```
aws sagemaker update-workforce --workforce-name workforce-name\ 
--workforce-vpc-config "{}"
```

Describa el personal y asegúrese de que el estado sea `Updating`.

```
aws sagemaker describe-workforce --workforce-name workforce-name
{
    "Workforce": {
        "WorkforceName": "workforce-name",
        "WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
        "LastUpdatedDate": 1622151252.451,
        "SourceIpConfig": {
            "Cidrs": []
        },
        "SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
        "CognitoConfig": {
            "UserPool": "Pool_ID",
            "ClientId": "app-client-id"
        },
        "CreateDate": 1622151252.451,
        "Status": "Updating"
    }
}
```

Diríjase a la consola de Amazon VPC. Seleccione **Puntos de conexión** en el panel izquierdo. Se deben eliminar los dos puntos de conexión de VPC.

## Restrinja el acceso público al portal para trabajadores y mantenga el acceso a través de una VPC
<a name="public-access-vpc"></a>

 Los trabajadores de un portal para trabajadores de VPC o no VPC pueden ver las tareas de etiquetado que tengan asignadas. La tarea consiste en asignar a los trabajadores de un equipo de trabajo a través de grupos del OIDC. Es responsabilidad del cliente restringir el acceso a su portal para trabajadores públicos configurando la `sourceIpConfig` en su plantilla. 

**nota**  
Puede restringir el acceso al portal para trabajadores únicamente a través de la SageMaker API. No puede hacerlo a través de la consola.

Ejecute el siguiente comando para restringir el acceso público al portal para trabajadores.

```
aws sagemaker update-workforce --region us-west-2 \
--workforce-name workforce-demo --source-ip-config '{"Cidrs":["10.0.0.0/16"]}'
```

Una vez establecida la `sourceIpConfig` en el personal, los trabajadores pueden acceder al portal para trabajadores en VPC, pero no a través de la Internet pública.

**nota**  
No puede establecer la restricción `sourceIP` para el portal para trabajadores en la VPC.