Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation du mode Amazon VPC à partir d'un portail d'employés privé
Pour restreindre l'accès au portail des employés aux étiqueteurs travaillant à l'intérieur de votre Amazon VPC, vous pouvez ajouter une configuration de VPC lorsque vous créez une main-d'œuvre privée Ground Truth. Vous pouvez également ajouter une configuration de VPC à une main-d'œuvre privée existante. Ground Truth crée automatiquement des points de terminaison d'interface VPC dans votre VPC et configure AWS PrivateLink entre le point de terminaison de votre VPC et les services Ground Truth. L'URL du portail des employés associée à la main-d'œuvre est accessible depuis votre VPC. L'URL du portail des employés est également accessible à partir de l'Internet public tant que vous ne définissez pas la restriction sur l'Internet public. Lorsque vous supprimez la main-d'œuvre ou retirez la configuration de VPC de votre main-d'œuvre, Ground Truth supprime automatiquement les points de terminaison de VPC associés à la main-d'œuvre.
**Note**
Un seul VPC peut être pris en charge par une main-d'œuvre.
Les tâches de [nuage de points](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-point-cloud.html) et [vidéo](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-video.html) ne prennent pas en charge le chargement via un VPC.
Le guide décrit l'exécution des étapes nécessaires pour ajouter et supprimer une configuration Amazon VPC de votre main-d'œuvre et pour satisfaire aux prérequis.
## Prérequis
Pour exécuter une tâche d'étiquetage Ground Truth dans Amazon VPC, passez en revue les conditions préalables suivantes.
+ Vous disposez d'un Amazon VPC configuré que vous pouvez utiliser. Si vous n'avez pas configuré de VPC, suivez ces instructions pour [créer un VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#interface-endpoint-shared-subnets).
+ En fonction de la façon dont un [modèle de tâche d'employé](https://docs.aws.amazon.com/sagemaker/latest/dg/a2i-instructions-overview.html) est écrit, les données d'étiquetage stockées dans un compartiment Amazon S3 sont accessibles directement depuis Amazon S3 pendant les tâches d'étiquetage. Dans ce cas, le réseau VPC doit être configuré pour autoriser le trafic entre le périphérique utilisé par l'étiqueteur humain et le compartiment S3 contenant les données d'étiquetage.
+ Pour activer les noms d'hôte DNS et la résolution DNS pour votre VPC, suivez la procédure [Afficher et mettre à jour les attributs DNS pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating).
**Note**
Il existe deux méthodes pour configurer votre VPC pour votre main-d'œuvre. Vous pouvez le faire via la [console](https://console.aws.amazon.com/sagemaker) ou l' AWS SageMaker AI [CLI](https://aws.amazon.com/cli/).
# Utilisation de la console SageMaker AI pour gérer une configuration VPC
Vous pouvez utiliser la [console SageMaker AI](https://console.aws.amazon.com/sagemaker) pour ajouter ou supprimer une configuration VPC. Vous pouvez également supprimer une main-d'œuvre existante.
## Ajout d'une configuration de VPC à votre main-d'œuvre
### Créer une main-d'œuvre privée
+ [Créer une main-d'œuvre privée à l'aide d'Amazon Cognito](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private-use-cognito.html)
+ [Créez une main-d'œuvre privée à l'aide du fournisseur d'identité (IdP) OpenID Connect (OIDC)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private-use-oidc.html).
Une fois que vous avez créé votre main-d'œuvre privée, ajoutez-y une configuration de VPC.
1. Accédez à [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker) sur votre console.
1. Sélectionnez **Labeling workforces** (Mains-d'œuvre d'étiquetage) dans le panneau de gauche.
1. Sélectionnez **Private** (Privée) pour accéder à votre main-d'œuvre privée. Une fois que **Workforce status** (Statut de la main-d'œuvre) est défini sur **Active** (Actif), sélectionnez **Add** (Ajouter) en regard de **VPC**.
1. Lorsque vous êtes invité à configurer votre VPC, indiquez les éléments suivants :
1. Votre **VPC**
1. **Sous-réseaux**
1. Assurez-vous que votre VPC possède un sous-réseau existant.
1. **Groupes de sécurité**
1.
**Note**
Vous ne pouvez pas sélectionner plus de 5 groupes de sécurité.
1. Après avoir renseigné ces informations, choisissez **Confirm** (Confirmer).
1. Après avoir choisi **Confirm** (Confirmer), vous êtes redirigé vers la page **Private** (Privé) sous **Labeling workforces** (Mains-d'œuvre d'étiquetage). En haut de la page, vous devriez voir une bannière verte indiquant : **Your private workforce update with VPC configuration was successfully initialized** (La mise à jour de votre main-d'œuvre privée avec la configuration de VPC a été initialisée avec succès). Le statut de la main-d'œuvre est **Updating** (Mise à jour en cours). En regard du bouton **Delete workforce** (Supprimer la main-d'œuvre) figure le bouton **Refresh** (Actualiser), qui permet de récupérer les dernières informations **Workforce status** (Statut de la main-d'œuvre). Une fois que le statut de la main-d'œuvre est passé à **Active** (Actif), l'ID du point de terminaison de VPC est également mis à jour.
## Retrait d'une configuration de VPC de votre main-d'œuvre
Utilisez les informations suivantes pour retirer une configuration de VPC de votre main-d'œuvre à l'aide de la console.
1. Accédez à [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker) sur votre console.
1. Sélectionnez **Labeling workforces** (Mains-d'œuvre d'étiquetage) dans le panneau de gauche.
1. Recherchez et sélectionnez votre main-d'œuvre.
1. Sous **Private workforce summary** (Récapitulatif de la main-d'œuvre privée), recherchez **VPC** et choisissez **Remove** (Supprimer) en regard.
1. Sélectionnez **Remove** (Retirer).
## Mise à jour d'une main-d'œuvre via la console
Si vous supprimez une main-d'œuvre, aucune équipe ne doit lui être associée. Vous pouvez supprimer une main-d'œuvre uniquement si son statut est **Active** (Actif) ou **Failed** (Échec).
Utilisez les informations suivantes pour supprimer une main-d'œuvre à l'aide de la console.
1. Accédez à [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker) sur votre console.
1. Sélectionnez **Labeling workforces** (Mains-d'œuvre d'étiquetage) dans le panneau de gauche.
1. Recherchez et sélectionnez votre main-d'œuvre.
1. Choisissez **Delete workforce** (Supprimer la main-d'œuvre).
1. Sélectionnez **Delete** (Supprimer).
# Utilisation de l' AWS API SageMaker AI pour gérer une configuration VPC
Utilisez les sections suivantes pour en savoir plus sur la gestion d'une VPCs configuration, tout en maintenant le bon niveau d'accès pour l'équipe de travail.
## Créer une main-d'œuvre avec une configuration de VPC
Si le compte dispose déjà d'une main-d'œuvre, vous devez commencer par la supprimer. Vous pouvez également mettre à jour la main-d'œuvre avec la configuration de VPC.
```
aws sagemaker create-workforce --cognito-config '{"ClientId": "app-client-id","UserPool": "Pool_ID",}' --workforce-vpc-config \
" {\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}" --workforce-name workforce-name
{
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name"
}
```
Décrivez la main-d'œuvre et assurez-vous que son statut est `Initializing`.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"WorkforceVpcConfig": {
"VpcId": "vpc-id",
"SecurityGroupIds": [
"sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0"
]
},
"Status": "Initializing"
}
}
```
Accédez à la console Amazon VPC. Sélectionnez **Endpoints** (Points de terminaison) dans le panneau de gauche. Deux points de terminaison de VPC doivent avoir été créés dans votre compte.
## Ajout d'une configuration de VPC à votre main-d'œuvre
Mettez à jour une main-d'œuvre privée non-VPC avec une configuration de VPC à l'aide de la commande suivante.
```
aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}"
```
Décrivez la main-d'œuvre et assurez-vous que son statut est `Updating`.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"WorkforceVpcConfig": {
"VpcId": "vpc-id",
"SecurityGroupIds": [
"sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0"
]
},
"Status": "Updating"
}
}
```
Accédez à votre console Amazon VPC. Sélectionnez **Endpoints** (Points de terminaison) dans le panneau de gauche. Deux points de terminaison de VPC doivent avoir été créés dans votre compte.
## Retrait d'une configuration de VPC de votre main-d'œuvre
Mettez à jour une main-d'œuvre privée de VPC avec une configuration de VPC vide pour retirer les ressources du VPC.
```
aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{}"
```
Décrivez la main-d'œuvre et assurez-vous que son statut est `Updating`.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"Status": "Updating"
}
}
```
Accédez à votre console Amazon VPC. Sélectionnez **Endpoints** (Points de terminaison) dans le panneau de gauche. Les deux points de terminaison de VPC doivent être supprimés.
## Restreindre l'accès public au portail des employés tout en maintenant l'accès via un VPC
Les employés d'un portail d'employés VPC ou non-VPC peuvent voir les tâches d'étiquetage qui leur sont affectées. L'affectation est rattachée à l'affectation d'employés dans une équipe de travail par l'intermédiaire de groupes OIDC. Il est de la responsabilité du client de restreindre l'accès à son portail d'employés public en définissant `sourceIpConfig` dans sa main-d'œuvre.
**Note**
Vous pouvez restreindre l'accès au portail des travailleurs uniquement via l' SageMaker API. Vous ne pouvez pas le faire via la console.
Utilisez la commande suivante pour restreindre l'accès public au portail des employés.
```
aws sagemaker update-workforce --region us-west-2 \
--workforce-name workforce-demo --source-ip-config '{"Cidrs":["10.0.0.0/16"]}'
```
Une fois que `sourceIpConfig` est défini sur la main-d'œuvre, les employés peuvent accéder au portail des employés dans le VPC, mais pas via l'Internet public.
**Note**
Vous ne pouvez pas définir la restriction `sourceIP` pour le portail des employés dans le VPC.