기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 프라이빗 작업자 포털에서 Amazon VPC 모드 사용
Amazon VPC 내부에서 작업하는 레이블 지정자의 작업자 포털 액세스를 제한해야 할 경우, Ground Truth 프라이빗 작업 인력을 생성할 때 VPC 구성을 추가하면 됩니다. 기존 프라이빗 작업 인력에 VPC 구성을 추가할 수도 있습니다. Ground Truth는 VPC 내부의 VPC 인터페이스 엔드포인트를 자동으로 생성하고, VPC 엔드포인트와 Ground Truth 서비스 사이에 AWS PrivateLink 을(를) 설정합니다. 해당 작업 인력과 연결된 작업자 포털 URL은 VPC로 액세스할 수 있습니다. 공용 인터넷에 대한 제한을 설정하기 전까지는 공용 인터넷으로도 작업자 포털 URL에 액세스할 수 있습니다. 작업 인력을 삭제하거나 작업 인력에서 VPC 구성을 제거하면 Ground Truth가 해당 작업 인력과 연결된 VPC 엔드포인트를 자동으로 삭제합니다.
**참고**
한 작업 인력에는 하나의 VPC만 지원됩니다.
[포인트 클라우드](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-point-cloud.html) 작업 및 [동영상](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-video.html) 작업은 VPC를 통한 로드를 지원하지 않습니다.
이 안내서는 Amazon VPC 구성을 작업 인력에 추가 및 삭제하는 데 필요한 단계를 완료하고 사전 조건을 충족하는 방법을 보여줍니다.
## 사전 조건
Amazon VPC로 Ground Truth 레이블 지정 작업을 실행하려면 다음 사전 조건을 잘 읽어 보세요.
+ 사용 가능한 Amazon VPC가 구성되어 있어야 합니다. VPC를 아직 구성하지 않았다면 본 [VPC 생성](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#interface-endpoint-shared-subnets) 관련 지침을 따르세요.
+ [작업자 작업 템플릿](https://docs.aws.amazon.com/sagemaker/latest/dg/a2i-instructions-overview.html)의 작성 방식에 따라, 레이블 지정 작업이 진행되는 동안 Amazon S3를 통해 Amazon S3 버킷에 저장된 레이블 지정 데이터에 직접 액세스할 수 있습니다. 이런 경우에는 인간 레이블 지정자가 사용하는 디바이스에서 레이블 지정 데이터가 포함된 S3 버킷으로 트래픽이 전송될 수 있도록 VPC 네트워크를 구성해야 합니다.
+ [VPC용 DNS 속성 보기 및 업데이트](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)에 따라 VPC용 DNS 호스트 이름 및 DNS 확인을 활성화하세요.
**참고**
작업 인력에 맞게 VPC를 구성하는 방법은 2가지입니다. [콘솔](https://console.aws.amazon.com/sagemaker) 또는 AWS SageMaker AI [CLI](https://aws.amazon.com/cli/)를 통해이 작업을 수행할 수 있습니다.
# SageMaker AI 콘솔을 사용하여 VPC 구성 관리
[SageMaker AI 콘솔](https://console.aws.amazon.com/sagemaker)을 사용하여 VPC 구성을 추가하거나 제거할 수 있습니다. 기존 작업 인력을 삭제할 수도 있습니다.
## 작업 인력에 VPC 구성 추가
### 프라이빗 작업 인력 생성
+ [Amazon Cognito를 이용한 프라이빗 작업 인력 생성](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private-use-cognito.html)
+ [OIDC(OpenID Connect) 자격 증명 공급자(IdP)를 이용하여 프라이빗 작업 인력을 생성하세요](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private-use-oidc.html).
프라이빗 작업 인력을 생성하고 나서 해당 작업 인력에 VPC 구성을 추가하세요.
1. 콘솔에서 [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker)으로 이동하세요.
1. 왼쪽 창에서 **레이블 지정 작업 인력**을 선택하세요.
1. **프라이빗**을 선택하여 프라이빗 작업 인력에 액세스하세요. **작업 인력 상태**를 **활성**으로 설정한 후 **VPC** 옆의 **추가**를 선택하세요.
1. VPC를 구성하라는 메시지가 나타나면 다음 항목을 제공하세요.
1. 사용할 **VPC**
1. **서브넷**
1. VPC에 기존 서브넷이 있는지 확인
1. **보안 그룹**
1.
**참고**
보안 그룹은 5개보다 많이 선택할 수 없습니다.
1. 이 정보를 입력한 후에 **확인**을 선택하세요.
1. **확인**을 선택하고 나면 **레이블 지정 작업 인력** 하위의 **프라이빗** 페이지로 다시 리디렉션됩니다. **VPC 구성을 이용한 프라이빗 작업 인력 업데이트가 초기화되었습니다**라는 녹색 배너가 상단에 표시되어야 합니다. 작업 인력 상태가 **업데이트 중**입니다. **작업 인력 삭제** 버튼 옆에 **새로 고침** 버튼이 있습니다. 이 버튼을 사용하면 최신 **작업 인력 상태**를 검색할 수 있습니다. 작업 인력 상태가 **활성**으로 변경되고 나면 VPC 엔드포인트 ID도 업데이트됩니다.
## 작업 인력에서 VPC 구성 제거
다음 정보에 따라 콘솔을 사용하여 작업 인력에서 VPC 구성을 제거하세요.
1. 콘솔에서 [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker)으로 이동하세요.
1. 왼쪽 창에서 **레이블 지정 작업 인력**을 선택하세요.
1. 원하는 작업 인력을 찾아 선택하세요.
1. **프라이빗 작업 인력 요약**에서 **VPC**를 찾아 그 옆에 있는 **제거**를 선택하세요.
1. **제거**를 선택합니다.
## 콘솔을 이용한 작업 인력 삭제
작업 인력을 삭제할 경우, 해당 작업 인력에는 어떤 팀도 연결되어 있지 않아야 합니다. 작업 인력 상태가 **활성** 또는 **실패**인 경우에만 작업 인력을 삭제할 수 있습니다.
다음 정보에 따라 콘솔을 사용하여 작업 인력을 삭제하세요.
1. 콘솔에서 [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker)으로 이동하세요.
1. 왼쪽 창에서 **레이블 지정 작업 인력**을 선택하세요.
1. 원하는 작업 인력을 찾아 선택하세요.
1. **작업 인력 삭제**를 선택하세요.
1. **Delete**(삭제)를 선택합니다.
# SageMaker AI AWS API를 사용하여 VPC 구성 관리
다음 섹션을 사용하여 작업 팀에 대한 적절한 수준의 액세스를 유지하면서 VPC 구성을 관리하는 방법에 대해 자세히 알아봅니다.
## VPC 구성을 이용한 작업 인력 생성
이 계정에 이미 작업 인력이 있는 경우, 해당 계정을 먼저 삭제해야 합니다. VPC 구성으로 해당 작업 인력을 업데이트할 수도 있습니다.
```
aws sagemaker create-workforce --cognito-config '{"ClientId": "app-client-id","UserPool": "Pool_ID",}' --workforce-vpc-config \
" {\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}" --workforce-name workforce-name
{
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name"
}
```
작업 인력에 대해 설명하고 그 상태가 `Initializing`인지 확인하세요.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"WorkforceVpcConfig": {
"VpcId": "vpc-id",
"SecurityGroupIds": [
"sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0"
]
},
"Status": "Initializing"
}
}
```
Amazon VPC 콘솔로 이동하세요. 왼쪽 창에서 **엔드포인트**를 선택하세요. 사용자의 계정에 2개의 VPC 엔드포인트가 생성되어 있어야 합니다.
## 작업 인력에 VPC 구성 추가
다음 명령을 사용하여 VPC 외 프라이빗 작업 인력을 VPC 구성으로 업데이트하세요.
```
aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}"
```
작업 인력에 대해 설명하고 그 상태가 `Updating`인지 확인하세요.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"WorkforceVpcConfig": {
"VpcId": "vpc-id",
"SecurityGroupIds": [
"sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0"
]
},
"Status": "Updating"
}
}
```
Amazon VPC 콘솔로 이동하세요. 왼쪽 창에서 **엔드포인트**를 선택하세요. 사용자의 계정에 2개의 VPC 엔드포인트가 생성되어 있어야 합니다.
## 작업 인력에서 VPC 구성 제거
VPC 프라이빗 작업 인력을 빈 VPC 구성으로 업데이트하여 VPC 리소스를 제거하세요.
```
aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{}"
```
작업 인력에 대해 설명하고 그 상태가 `Updating`인지 확인하세요.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"Status": "Updating"
}
}
```
Amazon VPC 콘솔로 이동하세요. 왼쪽 창에서 **엔드포인트**를 선택하세요. 이 2개의 VPC 엔드포인트는 삭제해야 합니다.
## VPC로 액세스를 유지하는 동시에 작업자 포털에 대한 공개 액세스 제한
VPC 내부 또는 VPC 외 작업자 포털의 작업자는 본인에게 할당된 레이블 지정 작업을 확인할 수 있습니다. 이러한 배정은 OIDC 그룹을 통해 작업팀에 작업자를 배정함으로써 이뤄집니다. 작업 인력에서 `sourceIpConfig`을(를) 설정하여 퍼블릭 작업자 포털에 대한 액세스를 제한하는 것은 고객의 책임입니다.
**참고**
해당 작업자 포털에 대한 액세스 제한은 SageMaker API를 통해서만 가능합니다. 콘솔에서는 이 작업을 수행할 수 없습니다.
다음 명령을 사용하여 작업자 포털에 대한 퍼블릭 액세스를 제한하세요.
```
aws sagemaker update-workforce --region us-west-2 \
--workforce-name workforce-demo --source-ip-config '{"Cidrs":["10.0.0.0/16"]}'
```
작업 인력에 `sourceIpConfig`을(를) 설정하고 나면 작업자가 VPC로는 작업자 포털에 액세스할 수 있지만, 공용 인터넷으로는 액세스할 수 없습니다.
**참고**
VPC에서는 작업자 포털에 대한 `sourceIP` 제한을 설정할 수 없습니다.