Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wenn Sie einen Batch-Inferenzjob ausführen, greift der Job auf Ihren Amazon S3 S3-Bucket zu, um die Eingabedaten herunterzuladen und die Ausgabedaten zu schreiben. Um den Zugriff auf Ihre Daten zu kontrollieren, empfehlen wir Ihnen, eine Virtual Private Cloud (VPC) mit Amazon VPC zu verwenden. Sie können Ihre Daten weiter schützen, indem Sie Ihre VPC so konfigurieren, dass Ihre Daten nicht über das Internet verfügbar sind, und stattdessen einen VPC-Schnittstellenendpunkt einrichten, mit dem eine private Verbindung AWS PrivateLinkzu Ihren Daten hergestellt wird. Weitere Informationen zur AWS PrivateLink Integration von Amazon VPC mit Amazon Bedrock finden Sie unter. Schützen Sie Ihre Daten mit Amazon VPC und AWS PrivateLink
Führen Sie die folgenden Schritte aus, um eine VPC für die Eingabeaufforderungen und Antworten des Ausgabemodells für Ihre Batch-Inferenzjobs zu konfigurieren und zu verwenden.
Themen
Richten Sie VPC ein, um Ihre Daten während der Batch-Inferenz zu schützen
Um eine VPC einzurichten, folgen Sie den Schritten unterRichten Sie eine VPC ein. Sie können Ihre VPC weiter schützen, indem Sie einen S3-VPC-Endpunkt einrichten und ressourcenbasierte IAM-Richtlinien verwenden, um den Zugriff auf den S3-Bucket mit Ihren Batch-Inferenzdaten einzuschränken, indem Sie die Schritte unter befolgen. (Beispiel) Beschränken Sie den Datenzugriff auf Ihre Amazon S3 S3-Daten mithilfe von VPC
VPC-Berechtigungen an eine Batch-Inferenzrolle anhängen
Nachdem Sie die Einrichtung Ihrer VPC abgeschlossen haben, fügen Sie Ihrer Batch-Inferenz-Servicerolle die folgenden Berechtigungen zu, damit sie auf die VPC zugreifen kann. Ändern Sie diese Richtlinie, um nur Zugriff auf die VPC-Ressourcen zu gewähren, die Ihr Job benötigt. Ersetzen Sie das subnet-ids und security-group-id durch die Werte aus Ihrer VPC.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "2",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
"arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
"arn:aws:ec2:${{region}}:${{account-id}}:security-group/${{security-group-id}}"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/BedrockManaged": ["true"]
},
"ArnEquals": {
"aws:RequestTag/BedrockModelInvocationJobArn":
["arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"]
}
}
},
{
"Sid": "3",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"ec2:Subnet": [
"arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}"
]
},
"ArnEquals": {
"ec2:ResourceTag/BedrockModelInvocationJobArn": [
"arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"
]
}
}
},
{
"Sid": "4",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": [
"CreateNetworkInterface"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"BedrockManaged",
"BedrockModelInvocationJobArn"
]
}
}
}
]
}Fügen Sie die VPC-Konfiguration hinzu, wenn Sie einen Batch-Inferenzjob einreichen
Nachdem Sie die VPC und die erforderlichen Rollen und Berechtigungen wie in den vorherigen Abschnitten beschrieben konfiguriert haben, können Sie einen Batch-Inferenzjob erstellen, der diese VPC verwendet.
Anmerkung
Derzeit können Sie beim Erstellen eines Batch-Inferenzjobs eine VPC nur über die API verwenden.
Wenn Sie die VPC-Subnetze und Sicherheitsgruppen für einen Job angeben, erstellt Amazon Bedrock elastische Netzwerkschnittstellen (ENIs), die Ihren Sicherheitsgruppen in einem der Subnetze zugeordnet sind. ENIs Erlauben Sie dem Amazon Bedrock-Job, eine Verbindung zu Ressourcen in Ihrer VPC herzustellen. Weitere Informationen dazu ENIs finden Sie unter Elastic Network Interfaces im Amazon VPC-Benutzerhandbuch. Amazon Bedrock-Tags ENIs , die es mit BedrockManaged und BedrockModelInvocationJobArn tags erstellt.
Wir empfehlen, mindestens ein Subnetz in jeder Availability Zone zur Verfügung zu stellen.
Sie können Sicherheitsgruppen verwenden, um Regeln für die Steuerung des Zugriffs von Amazon Bedrock auf Ihre VPC-Ressourcen festzulegen.
Sie können die VPC so konfigurieren, dass sie entweder in der Konsole oder über die API verwendet wird. Wählen Sie die Registerkarte für Ihre bevorzugte Methode und folgen Sie dann den Schritten:
Für die Amazon Bedrock-Konsole geben Sie VPC-Subnetze und Sicherheitsgruppen im Abschnitt „Optionale VPC-Einstellungen“ an, wenn Sie den Batch-Inferenz-Job einreichen.
Anmerkung
Für einen Job, der die VPC-Konfiguration beinhaltet, kann die Konsole nicht automatisch eine Servicerolle für Sie erstellen. Folgen Sie den Anweisungen unterErstellen Sie eine benutzerdefinierte Servicerolle für Batch-Inferenz, um eine benutzerdefinierte Rolle zu erstellen.
