기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon 가상 사설 클라우드에 Amazon SageMaker Ground Truth 사용
[Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html)(VPC)를 사용하면 사용자가 정의한 논리적으로 격리된 가상 네트워크에서 AWS 리소스를 시작할 수 있습니다. Ground Truth는 인터넷을 통해 연결하지 않고 Amazon VPC 내에서 레이블 지정 작업 생성을 지원합니다. Amazon VPC에서 레이블 지정 작업을 시작하면 VPC와 Ground Truth 간의 통신이 AWS 네트워크 내에서 완전하고 안전하게 수행됩니다.
이 안내서는 다음과 같은 방법으로 Amazon VPC에서 Ground Truth를 사용하는 방법을 보여줍니다.
1. [Amazon 가상 사설 클라우드에서 Amazon SageMaker Ground Truth 레이블 지정 작업 실행](samurai-vpc-labeling-job.md)
1. [프라이빗 작업자 포털에서 Amazon VPC 모드 사용](samurai-vpc-worker-portal.md)
# Amazon 가상 사설 클라우드에서 Amazon SageMaker Ground Truth 레이블 지정 작업 실행
Ground Truth는 Amazon VPC의 다음 기능을 지원합니다.
+ Amazon S3 버킷 정책을 사용하여 특정 VPC 엔드포인트 또는 특정 VPC의 버킷에 대한 액세스를 제어할 수 있습니다. 레이블 지정 작업을 시작하고 입력 데이터가 VPC의 사용자만 액세스할 수 있는 Amazon S3 버킷에 있는 경우, 버킷 정책을 추가하여 Ground Truth 엔드포인트에도 버킷에 액세스할 수 있는 권한을 부여할 수 있습니다. 자세한 내용은 [Ground Truth가 VPC 제한 Amazon S3 버킷에 액세스하도록 허용](#sms-vpc-permissions-s3)을 참조하세요.
+ VPC에서 [자동화된 데이터 레이블 지정 작업](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-automated-labeling.html)을 시작할 수 있습니다. VPC 구성을 사용하여 VPC 서브넷 및 보안 그룹을 지정합니다. SageMaker AI는 이 구성을 사용하여 VPC에서 자동 데이터 레이블링에 사용되는 훈련 및 추론 작업을 시작합니다. 자세한 내용은 [VPC에서 자동 데이터 레이블 지정 작업 생성](#sms-vpc-permissions-automated-labeling)를 참조하세요.
다음 방법 중 하나를 사용하여 이러한 옵션을 사용할 수 있습니다.
+ 이 두 가지 방법을 모두 사용하여 자동 데이터 레이블 지정을 활성화한 VPC 보호 Amazon S3 버킷을 사용하여 레이블 지정 작업을 시작할 수 있습니다.
+ VPC 보호 버킷을 사용하여 [기본 제공 태스크 유형](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html)을 이용한 레이블 지정 작업을 시작할 수 있습니다.
+ VPC 보호 버킷을 사용하여 [사용자 지정 레이블 지정 워크플로](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-custom-templates.html)를 시작할 수 있습니다. Ground Truth는 [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/endpoint-services-overview.html) 엔드포인트를 사용하여 사전 주석 및 사후 주석 Lambda 함수와 상호 작용합니다.
Amazon VPC에서 레이블 지정 작업을 생성하기 전에 [VPC에서 Ground Truth 레이블 지정 작업을 실행하기 위한 사전 조건](#sms-vpc-gt-prereq) 섹션을 검토하는 것이 좋습니다.
## VPC에서 Ground Truth 레이블 지정 작업을 실행하기 위한 사전 조건
Amazon VPC에서 Ground Truth 레이블 지정 작업을 생성하기 전에 다음 사전 조건을 검토하세요.
+ Ground Truth를 처음 사용하는 경우 [시작하기](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-getting-started.html)를 검토하여 레이블 지정 작업 생성 방법을 알아보세요.
+ 입력 데이터가 VPC로 보호되는 Amazon S3 버킷에 있는 경우 작업자는 VPC에서 작업자 포털에 액세스해야 합니다. VPC 기반 레이블 지정 작업은 프라이빗 작업 팀을 사용해야 합니다. 프라이빗 작업팀을 만드는 방법에 대해 자세히 알아보려면 [프라이빗 작업 인력 사용](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private.html)을 참조하세요.
+ 다음 사전 조건은 VPC에서 레이블 지정 작업을 시작하는 데에만 적용됩니다.
+ [Amazon S3 VPC 엔드포인트 생성](https://docs.aws.amazon.com/sagemaker/latest/dg/train-vpc.html#train-vpc-s3)의 지침을 이용하세요. 자동 데이터 레이블 지정 워크플로에 사용되는 훈련 및 추론 컨테이너는 이 엔드포인트를 사용하여 Amazon S3의 버킷과 통신합니다.
+ 이 기능에 대해 자세히 알아보려면 [자동 데이터 레이블 지정](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-automated-labeling.html)을 검토하세요. 참고로 자동 데이터 레이블 지정은 [이미지 분류(단일 레이블)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-image-classification.html), [이미지 의미 체계 분할](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-semantic-segmentation.html), [경계 상자](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-bounding-box.html) 및 [텍스트 분류(단일 레이블)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-text-classification.html)와 같은 [기본 제공 태스크 유형](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-task-types.html)에서 지원됩니다. 스트리밍 레이블 지정 작업은 자동 데이터 레이블 지정을 지원하지 않습니다.
+ [Ground Truth 보안 및 권한](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-security-general.html) 섹션을 검토하고 다음 조건을 충족하는지 확인하세요.
+ 레이블 지정 작업을 생성하는 사용자에게는 필요한 모든 권한이 있습니다.
+ 필수 권한을 가진 IAM 실행 역할을 생성했습니다. 사용 사례에 맞게 미세 조정된 권한이 필요하지 않은 경우, [Ground Truth 사용을 시작하기 위한 일반 권한 부여](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-security-permission.html#sms-security-permissions-get-started)에 설명된 IAM 관리형 정책을 사용하는 것이 좋습니다.
+ VPC가 `sagemaker-labeling-data-region` 및 `sm-bxcb-region-saved-task-states` S3 버킷에 액세스할 수 있도록 허용합니다. 이는 작업자가 작업을 수행할 때 작업자 포털에서 액세스하는 시스템 소유의 리전 S3 버킷입니다. 이러한 버킷을 사용하여 시스템 관리 데이터와 상호 작용합니다.
## Ground Truth가 VPC 제한 Amazon S3 버킷에 액세스하도록 허용
다음 섹션에서는 Ground Truth가 VPC 및 VPC 엔드포인트로 액세스가 제한된 Amazon S3 버킷을 사용하여 레이블 지정 작업을 시작하는 데 필요한 권한에 대한 세부 정보를 제공합니다. VPC로 Amazon S3 버킷에 대한 액세스를 제한하는 방법을 알아보려면 Amazon Simple Storage Service 사용 설명서의 [버킷 정책으로 VPC 엔드포인트 액세스 제어](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html) 섹션을 참조하세요. S3 버킷에 정책을 추가하는 방법을 알아보려면 [Amazon S3 콘솔을 사용하여 버킷 정책 추가](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)를 참조하세요.
**참고**
기존 버킷의 정책을 수정하면 `IN_PROGRESS` Ground Truth 작업이 실패할 수 있습니다. 새 버킷을 사용하여 새 작업을 시작하는 것이 좋습니다. 동일한 버킷을 계속 사용하려는 경우 다음 중 하나를 수행할 수 있습니다.
`IN_PROGRESS` 작업이 완료될 때까지 기다립니다.
콘솔 또는 AWS CLI를 사용하여 작업을 종료합니다.
[AWS PrivateLink](https://aws.amazon.com/privatelink/) 엔드포인트를 사용하여 VPC의 사용자에 대한 Amazon S3 버킷 액세스를 제한할 수 있습니다. 다음은 엔드포인트 의 특정 버킷인 ``에 대해 `` 및 엔드포인트 ``에서만 특정 버킷에 액세스를 허용하는 S3 버킷 정책의 예입니다. 이 정책을 수정할 때는 *빨간색 기울임꼴로 표시된 텍스트*를 모두 리소스 및 사양으로 바꿔야 합니다.
**참고**
다음 정책은 VPC 내 사용자를 *제외한* 모든 엔터티가 `Action`에 나열된 작업을 수행하는 것을 *거부합니다*. 이 목록에 작업을 포함하지 않아도 이 버킷에 대한 액세스 권한과 해당 작업을 수행할 권한이 있는 모든 엔터티가 해당 작업에 계속 액세스할 수 있습니다. 예를 들어, 사용자에게 Amazon S3 버킷에서 `GetBucketLocation`을 수행할 권한이 있는 경우, 아래 정책은 사용자가 VPC 외부에서 이 작업을 수행하는 것을 제한하지 않습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Policy1415115909152",
"Statement": [
{
"Sid": "AccessToSpecificVPCEOnly",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": [
"vpce-12345678",
"vpce-12345678901234567"
]
}
}
}
]
}
```
------
Ground Truth는 레이블 지정 작업을 구성하는 데 사용하는 S3 버킷에서 다음과 같은 Amazon S3 작업을 수행할 수 있어야 합니다.
```
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketLocation"
```
앞서 언급한 것과 같이 Ground Truth 엔드포인트를 버킷 정책에 추가하여 이 작업을 수행할 수 있습니다. 다음 표에는 각 AWS 리전에 대한 Ground Truth 서비스 엔드포인트가 포함되어 있습니다. 레이블 지정 작업을 실행하는 데 사용하는 것과 동일한 [AWS 리전](https://docs.aws.amazon.com/general/latest/gr/rande.html)의 엔드포인트를 버킷 정책에 추가합니다.
****
| AWS 리전 | Ground Truth 엔드포인트 |
| --- | --- |
| us-east-2 | vpce-02569ba1c40aad0bc |
| us-east-1 | vpce-08408e335ebf95b40 |
| us-west-2 | vpce-0ea07aa498eb78469 |
| ca-central-1 | vpce-0d46ea4c9ff55e1b7 |
| eu-central-1 | vpce-0865e7194a099183d |
| eu-west-2 | vpce-0bccd56798f4c5df0 |
| eu-west-1 | vpce-0788e7ed8628e595d |
| ap-south-1 | vpce-0d7fcda14e1783f11 |
| ap-southeast-2 | vpce-0b7609e6f305a77d4 |
| ap-southeast-1 | vpce-0e7e67b32e9efed27 |
| ap-northeast-2 | vpce-007893f89e05f2bbf |
| ap-northeast-1 | vpce-0247996a1a1807dbd |
예를 들어, 다음 정책은 다음에 대한 `GetObject` 및 `PutObject` 작업을 제한합니다.
+ VPC의 사용자를 위한 Amazon S3 버킷(``)
+ VPC 엔드포인트(``)
+ Ground Truth 서비스 엔드포인트(``)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "1",
"Statement": [
{
"Sid": "DenyAccessFromNonGTandCustomerVPC",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-12345678",
"aws:sourceVpce": [
"vpce-12345678",
"vpce-12345678"
]
}
}
}
]
}
```
------
Ground Truth 콘솔을 사용하여 레이블 지정 작업을 시작할 권한을 사용자에게 부여하려면 `aws:PrincipalArn` 조건을 사용하여 사용자의 ARN을 버킷 정책에 추가해야 합니다. 또한 이 사용자는 레이블 지정 작업을 시작하는 데 사용하는 버킷에서 다음과 같은 Amazon S3 작업을 수행할 권한이 있어야 합니다.
```
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:GetBucketCors",
"s3:PutBucketCors",
"s3:ListAllMyBuckets",
```
다음 코드는 S3 버킷 ``에서 `Action`에 나열된 작업을 수행할 권한을 다음 역할로 제한하는 버킷 정책의 예입니다.
+ **
+ `aws:sourceVpce`에 나열된 VPC 엔드포인트
+ **라는 이름의 VPC 내의 사용자
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "1",
"Statement": [
{
"Sid": "DenyAccessFromNonGTandCustomerVPC",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-name/*",
"arn:aws:s3:::bucket-name"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-12345678",
"aws:PrincipalArn": "arn:aws:iam::111122223333:role/role-name"
},
"StringNotEquals": {
"aws:sourceVpce": [
"vpce-12345678",
"vpce-12345678"
]
}
}
}
]
}
```
------
**참고**
입력 및 출력 데이터에 사용하는 Amazon VPC 인터페이스 엔드포인트와 보호된 Amazon S3 버킷은 레이블 지정 작업을 생성하는 데 사용하는 리전과 동일한 AWS 리전에 있어야 합니다.
Amazon S3 버킷에 액세스할 수 있는 Ground Truth 권한을 부여한 후에는 [레이블 지정 작업 생성](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-create-labeling-job.html)의 주제 중 하나를 사용하여 레이블 지정 작업을 시작할 수 있습니다. 입력 및 출력 데이터 버킷에 대해 VPC 제한 Amazon S3 버킷을 지정합니다.
## VPC에서 자동 데이터 레이블 지정 작업 생성
Amazon VPC를 사용하여 자동 데이터 레이블 지정 작업을 생성하려면 Ground Truth 콘솔 또는 `CreateLabelingJob` API 작업을 사용하여 VPC 구성을 제공해야 합니다. SageMaker AI는 사용자가 제공하는 서브넷 및 보안 그룹을 사용하여 자동 레이블링에 사용되는 훈련 및 추론 작업을 시작합니다.
**중요**
VPC 구성으로 자동 데이터 레이블 지정 작업을 시작하기 전에 레이블 지정 작업에 사용할 VPC를 사용하여 Amazon S3 VPC 엔드포인트를 생성했는지 확인하세요. 방법을 알아보려면 [Amazon S3 VPC 엔드포인트 생성](https://docs.aws.amazon.com/sagemaker/latest/dg/train-vpc.html#train-vpc-s3)을 참조하세요.
또한 VPC 제한 Amazon S3 버킷을 사용하여 자동 데이터 레이블 지정 작업을 생성하는 경우, [Ground Truth가 VPC 제한 Amazon S3 버킷에 액세스하도록 허용](#sms-vpc-permissions-s3)의 지침에 따라 Ground Truth에 버킷 액세스 권한을 부여해야 합니다.
다음 절차를 사용하여 레이블 지정 작업 요청에 VPC 구성을 추가하는 방법을 알아보세요.
**자동 데이터 레이블 지정 작업에 VPC 구성 추가(콘솔):**
1. [레이블 지정 작업 생성(콘솔)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-create-labeling-job-console.html)의 지침에 따라 절차의 각 단계를 15단계까지 완료하세요.
1. **작업자** 섹션에서 **자동 데이터 레이블 지정 활성화** 옆의 확인란을 선택합니다.
1. 화살표를 선택하여 콘솔의 **VPC 구성** 섹션을 최대화합니다.
1. 자동 데이터 레이블 지정 작업에 사용할 **Virtual Private Cloud(VPC)**를 지정합니다.
1. **서브넷**에서 드롭다운 목록을 선택하고 하나 이상의 서브넷을 선택합니다.
1. **보안 그룹**에서 드롭다운 목록을 선택하고 하나 이상의 그룹을 선택합니다.
1. [레이블 지정 작업 생성(콘솔)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-create-labeling-job-console.html)에서 나머지 절차를 모두 완료하세요.
**자동 데이터 레이블 지정 작업(API)에 VPC 구성 추가:**
Ground Truth API 작업 `CreateLabelingJob`을 사용하여 레이블 지정 작업을 구성하려면 [자동 데이터 레이블 지정 작업(API) 생성](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-automated-labeling.html#sms-create-automated-labeling-api)의 지침에 따라 요청을 구성하세요. 이 설명서에 설명된 파라미터 외에도 다음 스키마를 사용하여 하나 이상의 서브넷 및 보안 그룹을 지정하려면 `VpcConfig` 파라미터를 `LabelingJobResourceConfig`에 포함해야 합니다.
```
"LabelingJobAlgorithmsConfig": {
"InitialActiveLearningModelArn": "string",
"LabelingJobAlgorithmSpecificationArn": "string",
"LabelingJobResourceConfig": {
"VolumeKmsKeyId": "string",
"VpcConfig": {
"SecurityGroupIds": [ "string" ],
"Subnets": [ "string" ]
}
}
}
```
다음은 프라이빗 작업 인력을 사용하여 미국 동부(버지니아 북부) 리전에 자동 데이터 레이블 지정 작업을 생성하는 [AWS Python SDK(Boto3) 요청](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/sagemaker.html#SageMaker.Client.create_labeling_job)의 예시입니다. *빨간색 기울임꼴로 표시된 모든 텍스트*를 레이블 지정 작업 리소스 및 사양으로 바꾸세요. `CreateLabelingJob` 작업에 대한 자세한 내용은 [레이블 지정 작업 생성(API)](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-create-labeling-job-api.html) 튜토리얼 및 [CreateLabelingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html) API 설명서를 참조하세요.
```
import boto3
client = boto3.client(service_name='sagemaker')
response = client.create_labeling_job(
LabelingJobName="example-labeling-job",
LabelAttributeName="label",
InputConfig={
'DataSource': {
'S3DataSource': {
'ManifestS3Uri': "s3://bucket/path/manifest-with-input-data.json"
}
}
},
"LabelingJobAlgorithmsConfig": {
"LabelingJobAlgorithmSpecificationArn": "arn:aws:sagemaker:us-east-1:027400017018:labeling-job-algorithm-specification/tasktype",
"LabelingJobResourceConfig": {
"VpcConfig": {
"SecurityGroupIds": [ "sg-01233456789", "sg-987654321" ],
"Subnets": [ "subnet-e0123456", "subnet-e7891011" ]
}
}
},
OutputConfig={
'S3OutputPath': "s3://bucket/path/file-to-store-output-data",
'KmsKeyId': "string"
},
RoleArn="arn:aws:iam::*:role/*,
LabelCategoryConfigS3Uri="s3://bucket/path/label-categories.json",
StoppingConditions={
'MaxHumanLabeledObjectCount': 123,
'MaxPercentageOfInputDatasetLabeled': 123
},
HumanTaskConfig={
'WorkteamArn': "arn:aws:sagemaker:region:*:workteam/private-crowd/*",
'UiConfig': {
'UiTemplateS3Uri': "s3://bucket/path/custom-worker-task-template.html"
},
'PreHumanTaskLambdaArn': "arn:aws:lambda:us-east-1:432418664414:function:PRE-tasktype",
'TaskKeywords': [
"Images",
"Classification",
"Multi-label"
],
'TaskTitle': "Add task title here",
'TaskDescription': "Add description of task here for workers",
'NumberOfHumanWorkersPerDataObject': 1,
'TaskTimeLimitInSeconds': 3600,
'TaskAvailabilityLifetimeInSeconds': 21600,
'MaxConcurrentTaskCount': 1000,
'AnnotationConsolidationConfig': {
'AnnotationConsolidationLambdaArn': "arn:aws:lambda:us-east-1:432418664414:function:ACS-tasktype"
},
Tags=[
{
'Key': "string",
'Value': "string"
},
]
)
```
# 프라이빗 작업자 포털에서 Amazon VPC 모드 사용
Amazon VPC 내부에서 작업하는 레이블 지정자의 작업자 포털 액세스를 제한해야 할 경우, Ground Truth 프라이빗 작업 인력을 생성할 때 VPC 구성을 추가하면 됩니다. 기존 프라이빗 작업 인력에 VPC 구성을 추가할 수도 있습니다. Ground Truth는 VPC 내부의 VPC 인터페이스 엔드포인트를 자동으로 생성하고, VPC 엔드포인트와 Ground Truth 서비스 사이에 AWS PrivateLink 을(를) 설정합니다. 해당 작업 인력과 연결된 작업자 포털 URL은 VPC로 액세스할 수 있습니다. 공용 인터넷에 대한 제한을 설정하기 전까지는 공용 인터넷으로도 작업자 포털 URL에 액세스할 수 있습니다. 작업 인력을 삭제하거나 작업 인력에서 VPC 구성을 제거하면 Ground Truth가 해당 작업 인력과 연결된 VPC 엔드포인트를 자동으로 삭제합니다.
**참고**
한 작업 인력에는 하나의 VPC만 지원됩니다.
[포인트 클라우드](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-point-cloud.html) 작업 및 [동영상](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-video.html) 작업은 VPC를 통한 로드를 지원하지 않습니다.
이 안내서는 Amazon VPC 구성을 작업 인력에 추가 및 삭제하는 데 필요한 단계를 완료하고 사전 조건을 충족하는 방법을 보여줍니다.
## 사전 조건
Amazon VPC로 Ground Truth 레이블 지정 작업을 실행하려면 다음 사전 조건을 잘 읽어 보세요.
+ 사용 가능한 Amazon VPC가 구성되어 있어야 합니다. VPC를 아직 구성하지 않았다면 본 [VPC 생성](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#interface-endpoint-shared-subnets) 관련 지침을 따르세요.
+ [작업자 작업 템플릿](https://docs.aws.amazon.com/sagemaker/latest/dg/a2i-instructions-overview.html)의 작성 방식에 따라, 레이블 지정 작업이 진행되는 동안 Amazon S3를 통해 Amazon S3 버킷에 저장된 레이블 지정 데이터에 직접 액세스할 수 있습니다. 이런 경우에는 인간 레이블 지정자가 사용하는 디바이스에서 레이블 지정 데이터가 포함된 S3 버킷으로 트래픽이 전송될 수 있도록 VPC 네트워크를 구성해야 합니다.
+ [VPC용 DNS 속성 보기 및 업데이트](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)에 따라 VPC용 DNS 호스트 이름 및 DNS 확인을 활성화하세요.
**참고**
작업 인력에 맞게 VPC를 구성하는 방법은 2가지입니다. [콘솔](https://console.aws.amazon.com/sagemaker) 또는 AWS SageMaker AI [CLI](https://aws.amazon.com/cli/)를 통해이 작업을 수행할 수 있습니다.
# SageMaker AI 콘솔을 사용하여 VPC 구성 관리
[SageMaker AI 콘솔](https://console.aws.amazon.com/sagemaker)을 사용하여 VPC 구성을 추가하거나 제거할 수 있습니다. 기존 작업 인력을 삭제할 수도 있습니다.
## 작업 인력에 VPC 구성 추가
### 프라이빗 작업 인력 생성
+ [Amazon Cognito를 이용한 프라이빗 작업 인력 생성](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private-use-cognito.html)
+ [OIDC(OpenID Connect) 자격 증명 공급자(IdP)를 이용하여 프라이빗 작업 인력을 생성하세요](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-private-use-oidc.html).
프라이빗 작업 인력을 생성하고 나서 해당 작업 인력에 VPC 구성을 추가하세요.
1. 콘솔에서 [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker)으로 이동하세요.
1. 왼쪽 창에서 **레이블 지정 작업 인력**을 선택하세요.
1. **프라이빗**을 선택하여 프라이빗 작업 인력에 액세스하세요. **작업 인력 상태**를 **활성**으로 설정한 후 **VPC** 옆의 **추가**를 선택하세요.
1. VPC를 구성하라는 메시지가 나타나면 다음 항목을 제공하세요.
1. 사용할 **VPC**
1. **서브넷**
1. VPC에 기존 서브넷이 있는지 확인
1. **보안 그룹**
1.
**참고**
보안 그룹은 5개보다 많이 선택할 수 없습니다.
1. 이 정보를 입력한 후에 **확인**을 선택하세요.
1. **확인**을 선택하고 나면 **레이블 지정 작업 인력** 하위의 **프라이빗** 페이지로 다시 리디렉션됩니다. **VPC 구성을 이용한 프라이빗 작업 인력 업데이트가 초기화되었습니다**라는 녹색 배너가 상단에 표시되어야 합니다. 작업 인력 상태가 **업데이트 중**입니다. **작업 인력 삭제** 버튼 옆에 **새로 고침** 버튼이 있습니다. 이 버튼을 사용하면 최신 **작업 인력 상태**를 검색할 수 있습니다. 작업 인력 상태가 **활성**으로 변경되고 나면 VPC 엔드포인트 ID도 업데이트됩니다.
## 작업 인력에서 VPC 구성 제거
다음 정보에 따라 콘솔을 사용하여 작업 인력에서 VPC 구성을 제거하세요.
1. 콘솔에서 [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker)으로 이동하세요.
1. 왼쪽 창에서 **레이블 지정 작업 인력**을 선택하세요.
1. 원하는 작업 인력을 찾아 선택하세요.
1. **프라이빗 작업 인력 요약**에서 **VPC**를 찾아 그 옆에 있는 **제거**를 선택하세요.
1. **제거**를 선택합니다.
## 콘솔을 이용한 작업 인력 삭제
작업 인력을 삭제할 경우, 해당 작업 인력에는 어떤 팀도 연결되어 있지 않아야 합니다. 작업 인력 상태가 **활성** 또는 **실패**인 경우에만 작업 인력을 삭제할 수 있습니다.
다음 정보에 따라 콘솔을 사용하여 작업 인력을 삭제하세요.
1. 콘솔에서 [Amazon SageMaker Runtime](https://console.aws.amazon.com/sagemaker)으로 이동하세요.
1. 왼쪽 창에서 **레이블 지정 작업 인력**을 선택하세요.
1. 원하는 작업 인력을 찾아 선택하세요.
1. **작업 인력 삭제**를 선택하세요.
1. **Delete**(삭제)를 선택합니다.
# SageMaker AI AWS API를 사용하여 VPC 구성 관리
다음 섹션을 사용하여 작업 팀에 대한 적절한 수준의 액세스를 유지하면서 VPC 구성을 관리하는 방법에 대해 자세히 알아봅니다.
## VPC 구성을 이용한 작업 인력 생성
이 계정에 이미 작업 인력이 있는 경우, 해당 계정을 먼저 삭제해야 합니다. VPC 구성으로 해당 작업 인력을 업데이트할 수도 있습니다.
```
aws sagemaker create-workforce --cognito-config '{"ClientId": "app-client-id","UserPool": "Pool_ID",}' --workforce-vpc-config \
" {\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}" --workforce-name workforce-name
{
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name"
}
```
작업 인력에 대해 설명하고 그 상태가 `Initializing`인지 확인하세요.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"WorkforceVpcConfig": {
"VpcId": "vpc-id",
"SecurityGroupIds": [
"sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0"
]
},
"Status": "Initializing"
}
}
```
Amazon VPC 콘솔로 이동하세요. 왼쪽 창에서 **엔드포인트**를 선택하세요. 사용자의 계정에 2개의 VPC 엔드포인트가 생성되어 있어야 합니다.
## 작업 인력에 VPC 구성 추가
다음 명령을 사용하여 VPC 외 프라이빗 작업 인력을 VPC 구성으로 업데이트하세요.
```
aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{\"VpcId\": \"vpc-id\", \"SecurityGroupIds\": [\"sg-0123456789abcdef0\"], \"Subnets\": [\"subnet-0123456789abcdef0\"]}"
```
작업 인력에 대해 설명하고 그 상태가 `Updating`인지 확인하세요.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"WorkforceVpcConfig": {
"VpcId": "vpc-id",
"SecurityGroupIds": [
"sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0"
]
},
"Status": "Updating"
}
}
```
Amazon VPC 콘솔로 이동하세요. 왼쪽 창에서 **엔드포인트**를 선택하세요. 사용자의 계정에 2개의 VPC 엔드포인트가 생성되어 있어야 합니다.
## 작업 인력에서 VPC 구성 제거
VPC 프라이빗 작업 인력을 빈 VPC 구성으로 업데이트하여 VPC 리소스를 제거하세요.
```
aws sagemaker update-workforce --workforce-name workforce-name\
--workforce-vpc-config "{}"
```
작업 인력에 대해 설명하고 그 상태가 `Updating`인지 확인하세요.
```
aws sagemaker describe-workforce --workforce-name workforce-name
{
"Workforce": {
"WorkforceName": "workforce-name",
"WorkforceArn": "arn:aws:sagemaker:us-west-2:xxxxxxxxx:workforce/workforce-name",
"LastUpdatedDate": 1622151252.451,
"SourceIpConfig": {
"Cidrs": []
},
"SubDomain": "subdomain.us-west-2.sagamaker.aws.com",
"CognitoConfig": {
"UserPool": "Pool_ID",
"ClientId": "app-client-id"
},
"CreateDate": 1622151252.451,
"Status": "Updating"
}
}
```
Amazon VPC 콘솔로 이동하세요. 왼쪽 창에서 **엔드포인트**를 선택하세요. 이 2개의 VPC 엔드포인트는 삭제해야 합니다.
## VPC로 액세스를 유지하는 동시에 작업자 포털에 대한 공개 액세스 제한
VPC 내부 또는 VPC 외 작업자 포털의 작업자는 본인에게 할당된 레이블 지정 작업을 확인할 수 있습니다. 이러한 배정은 OIDC 그룹을 통해 작업팀에 작업자를 배정함으로써 이뤄집니다. 작업 인력에서 `sourceIpConfig`을(를) 설정하여 퍼블릭 작업자 포털에 대한 액세스를 제한하는 것은 고객의 책임입니다.
**참고**
해당 작업자 포털에 대한 액세스 제한은 SageMaker API를 통해서만 가능합니다. 콘솔에서는 이 작업을 수행할 수 없습니다.
다음 명령을 사용하여 작업자 포털에 대한 퍼블릭 액세스를 제한하세요.
```
aws sagemaker update-workforce --region us-west-2 \
--workforce-name workforce-demo --source-ip-config '{"Cidrs":["10.0.0.0/16"]}'
```
작업 인력에 `sourceIpConfig`을(를) 설정하고 나면 작업자가 VPC로는 작업자 포털에 액세스할 수 있지만, 공용 인터넷으로는 액세스할 수 없습니다.
**참고**
VPC에서는 작업자 포털에 대한 `sourceIP` 제한을 설정할 수 없습니다.