翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# プライベートワーカーポータルから Amazon VPC モードを使用する
Amazon VPC 内で動作するラベル作成者のワーカーポータルアクセスを制限するには、Ground Truth プライベートワークフォースを作成する際に VPC 設定を追加します。VPC 設定を既存のプライベートワークフォースに追加することもできます。Ground Truth は VPC に VPC インターフェイスエンドポイントを自動的に作成し、VPC エンドポイントと Ground Truth サービス間に AWS PrivateLink を設定します。ワークフォースに関連するワーカーポータル URL には、VPC からアクセスできます。パブリックインターネットに制限を設定するまで、ワーカーポータル URL には、パブリックインターネットからもアクセスできます。ワークフォースを削除するか、ワークフォースから VPC 設定を削除すると、Ground Truth はワークフォースに関連付けられた VPC エンドポイントを自動的に削除します。
**注記**
1 人のワークフォースに対してサポートされる VPC は 1 つだけです。
[点群](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-point-cloud.html)と[動画](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-video.html)タスクは VPC 経由のロードをサポートしていません。
このガイドでは、Amazon VPC 設定をワークフォースに追加および削除するために必要なステップを実行して前提条件を満たす方法について説明します。
## 前提条件
Amazon VPC で Ground Truth ラベリングジョブを実行するには、以下の前提条件を確認してください。
+ 使用可能な Amazon VPC が設定されていること。VPC を設定していない場合は、次の手順に従って [VPC を作成](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#interface-endpoint-shared-subnets)してください。
+ [ワーカータスクテンプレート](https://docs.aws.amazon.com/sagemaker/latest/dg/a2i-instructions-overview.html)の記述方法によっては、Amazon S3 バケットに保存されたラベリングデータが、ラベリングタスク中に Amazon S3 から直接アクセスされる場合があります。このような場合、人間のラベル作成者が使用するデバイスから、ラベリングデータを含む S3 バケットへのトラフィックを許可するように VPC ネットワークを設定する必要があります。
+ VPC の DNS ホスト名と DNS 解決を有効にするには、「[VPC の DNS 属性の表示と更新](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)」の手順に従ってください。
**注記**
ワークフォースに VPC を設定するには 2 つの方法があります。これは、 [コンソール](https://console.aws.amazon.com/sagemaker)または AWS SageMaker AI [CLI](https://aws.amazon.com/cli/) を使用して実行できます。
# SageMaker AI コンソールを使用した VPC 設定の管理
[SageMaker AI コンソール](https://console.aws.amazon.com/sagemaker)を使用して、VPC 設定を追加または削除できます。既存のワークフォースを削除することもできます。
## VPC 設定をワークフォースに追加
### プライベートワークフォースを作成する
+ [Amazon Cognito を使用してプライベートワークフォースを作成する](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private-use-cognito.html)
+ [OpenID Connect (OIDC) アイデンティティプロバイダー (IdP) を使用してプライベートワークフォースを作成する](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private-use-oidc.html)
プライベートワークフォースを作成したら、VPC 設定を追加します。
1. コンソールで [Amazon SageMaker ランタイム](https://console.aws.amazon.com/sagemaker)に移動します。
1. 左側のパネルで **[ラベリングワークフォース]** を選択します。
1. **[プライベート]** を選択してプライベートワークフォースにアクセスします。**[ワークフォースステータス]** が **[アクティブ]** になったら、**[VPC]** の横にある **[追加]** を選択します。
1. VPC を設定するように求められたら、次の情報を入力します。
1. **VPC**
1. **サブネット**
1. VPC に既存のサブネットがあることを確認する
1. **セキュリティグループ**
1.
**注記**
5 つ以上のセキュリティグループを選択することはできません。
1. この情報を入力したら、**[確認]** を選択します。
1. **[確認]** を選択すると、**[ラベリングワークフォース]** の下の **[非公開]** ページにリダイレクトされます。上部に、**[VPC 設定によるプライベートワークフォースの更新は正常に初期化されました]** という緑色のバナーが表示されます。ワークフォースのステータスは **[更新中]** です。**[ワークフォースの削除]** ボタンの横には **[更新]** ボタンがあります。このボタンを使用して最新の **[ワークフォースのステータス]** を取得できます。ワークフォースのステータスが **[アクティブ]** に変わると、VPC エンドポイント ID も更新されます。
## VPC 設定をワークフォースから削除する
コンソールを使用してワークフォースから VPC 設定を削除するには、次の情報を使用してください。
1. コンソールで [Amazon SageMaker ランタイム](https://console.aws.amazon.com/sagemaker)に移動します。
1. 左側のパネルで **[ラベリングワークフォース]** を選択します。
1. ワークフォースを検索して選択します。
1. **[プライベートワークフォースの概要]** で **[VPC]** の横にある **[削除]** を選択します。
1. **[削除]** を選択します。
## コンソールでワークフォースを削除する
ワークフォースを削除する場合、そのワークフォースにチームが関連付けられていないことを確認してください。ワークフォースを削除できるのは、ワークフォースステータスが **[アクティブ]** または **[失敗]** の場合のみです。
コンソールを使用してワークフォースを削除するには、次の情報を使用してください。
1. コンソールで [Amazon SageMaker ランタイム](https://console.aws.amazon.com/sagemaker)に移動します。
1. 左側のパネルで **[ラベリングワークフォース]** を選択します。
1. ワークフォースを検索して選択します。
1. **[ワークフォースの削除]** を選択します。
1. [**削除**] を選択します。
# SageMaker AI AWS API を使用した VPC 設定の管理
以下のセクションでは、ワークチームへの適切なレベルのアクセスを維持しながら、VPC 設定を管理する方法について詳しく説明します。
## VPC 設定でワークフォースを構築する
アカウントに既にワークフォースがある場合は、まずそのワークフォースを削除する必要があります。VPC 設定でワークフォースを更新することもできます。
```
aws sagemaker create-workforce --cognito-config '{"ClientId": "app-client-id","UserPool": "Pool_ID",}' --workforce-vpc-config \
" {\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}" --workforce-name workforce-name
{
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name"
}
```
ワークフォースについて説明し、ステータスが `Initializing` であることを確認します。
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"WorkforceVpcConfig": {
"VpcId": "vpc-id",
"SecurityGroupIds": [
"sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0"
]
},
"Status": "Initializing"
}
}
```
Amazon VPC コンソールに移動します。左パネルから **[エンドポイント]** オプションを選択します。アカウントには 2 つの VPC エンドポイントが作成されているはずです。
## ワークフォースに VPC 設定を追加する
次のコマンドを使用して、VPC 以外のプライベートワークフォースを VPC 設定で更新します。
```
aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}"
```
ワークフォースについて説明し、ステータスが `Updating` であることを確認します。
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"WorkforceVpcConfig": {
"VpcId": "vpc-id",
"SecurityGroupIds": [
"sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0"
]
},
"Status": "Updating"
}
}
```
[Amazon VPC コンソール] に移動します。左パネルから **[エンドポイント]** オプションを選択します。アカウントには 2 つの VPC エンドポイントが作成されているはずです。
## VPC 設定をワークフォースから削除する
VPC リソースを削除するには、VPC プライベートワークフォースを空の VPC 設定で更新します。
```
aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{}"
```
ワークフォースについて説明し、ステータスが `Updating` であることを確認します。
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"Status": "Updating"
}
}
```
Amazon VPC コンソールに移動します。左パネルから **[エンドポイント]** オプションを選択します。2 つの VPC エンドポイントは削除する必要があります。
## VPC 経由のアクセスを維持しながら、ワーカーポータルへのパブリックアクセスを制限する
VPC または VPC 以外のワーカーポータルのワーカーは、自分に割り当てられたラベリングジョブタスクを確認できます。割り当ては、OIDC グループを通じて作業チームのワーカーを割り当てることによって行われます。ワークフォースに `sourceIpConfig` を設定して、公共のワーカーポータルへのアクセスを制限するのはお客様の責任です。
**注記**
SageMaker API を介してのみ、ワーカーポータルへのアクセスを制限できます。これはコンソールからは実行できません。
次のコマンドを使用して、ワーカーポータルへのパブリックアクセスを制限します。
```
aws sagemaker update-workforce --region us-west-2 \
--workforce-name workforce-demo --source-ip-config '{"Cidrs":["10.0.0.0/16"]}'
```
ワークフォースに `sourceIpConfig` を設定すると、ワーカーは VPC のワーカーポータルにアクセスできますが、パブリックインターネットからはアクセスできなくなります。
**注記**
VPC のワーカーポータルには `sourceIP` 制限を設定できません。