Schützen Sie Batch-Inferenzjobs mit einem VPC - Amazon Bedrock
VPCSo einrichten, dass Ihre Daten während der Batch-Inferenz geschützt sindOrdnen Sie einer Batch-Inferenz-Rolle VPC Berechtigungen zuFügen Sie die VPC Konfiguration hinzu, wenn Sie einen Batch-Inferenzjob einreichen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schützen Sie Batch-Inferenzjobs mit einem VPC

Wenn Sie einen Batch-Inferenzjob ausführen, greift der Job auf Ihren Amazon S3 S3-Bucket zu, um die Eingabedaten herunterzuladen und die Ausgabedaten zu schreiben. Um den Zugriff auf Ihre Daten zu kontrollieren, empfehlen wir Ihnen, eine virtuelle private Cloud (VPC) mit Amazon zu verwendenVPC. Sie können Ihre Daten weiter schützen, indem Sie Ihre VPC so konfigurieren, dass Ihre Daten nicht über das Internet verfügbar sind, und stattdessen einen VPC Schnittstellenendpunkt einrichten, mit dem AWS PrivateLinkSie eine private Verbindung zu Ihren Daten herstellen können. Weitere Informationen zur AWS PrivateLink Integration von Amazon VPC mit Amazon Bedrock finden Sie unterSchützen Sie Ihre Daten mit Amazon VPC und AWS PrivateLink.

Führen Sie die folgenden Schritte aus, um a VPC für die Eingabeaufforderungen und die Antworten des Ausgabemodells für Ihre Batch-Inferenzjobs zu konfigurieren und zu verwenden.

VPCSo einrichten, dass Ihre Daten während der Batch-Inferenz geschützt sind

Um eine einzurichtenVPC, folgen Sie den Schritten unterRichten Sie ein VPC. Sie können Ihren weiter schützen, VPC indem Sie einen VPC S3-Endpunkt einrichten und ressourcenbasierte IAM Richtlinien verwenden, um den Zugriff auf den S3-Bucket, der Ihre Batch-Inferenzdaten enthält, einzuschränken, indem Sie die Schritte unter befolgen. (Beispiel) Beschränken Sie den Datenzugriff auf Ihre Amazon S3 S3-Daten mit VPC

Ordnen Sie einer Batch-Inferenz-Rolle VPC Berechtigungen zu

Nachdem Sie Ihre eingerichtet habenVPC, fügen Sie Ihrer Batch-Inferenz-Servicerolle die folgenden Berechtigungen zu, damit sie auf die zugreifen kann. VPC Ändern Sie diese Richtlinie so, dass Sie nur auf die VPC Ressourcen zugreifen können, die für Ihren Job benötigt werden. Ersetzen Sie das subnet-ids und security-group-id durch die Werte aus IhremVPC.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
                "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
                "arn:aws:ec2:${{region}}:${{account-id}}:security-group/${{security-group-id}}"
            ],
            "Condition": {
               "StringEquals": { 
                   "aws:RequestTag/BedrockManaged": ["true"]
                },
                "ArnEquals": {
                   "aws:RequestTag/BedrockModelInvocationJobArn": 
                   ["arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"]
               }
            }
        },
        {
            "Sid": "3",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:Subnet": [
                        "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}"
                    ]
                },
                "ArnEquals": {
                    "ec2:ResourceTag/BedrockModelInvocationJobArn": [
                        "arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "4",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]    
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelInvocationJobArn"
                    ]
                }
             }
        }
    ]
}

Fügen Sie die VPC Konfiguration hinzu, wenn Sie einen Batch-Inferenzjob einreichen

Nachdem Sie die VPC und die erforderlichen Rollen und Berechtigungen wie in den vorherigen Abschnitten beschrieben konfiguriert haben, können Sie einen Batch-Inferenzjob erstellen, der diese verwendet. VPC

Anmerkung

Derzeit können Sie beim Erstellen eines Batch-Inferenzjobs nur a VPC über die verwenden. API

Wenn Sie die VPC Subnetze und Sicherheitsgruppen für einen Job angeben, erstellt Amazon Bedrock elastische Netzwerkschnittstellen (ENIs), die Ihren Sicherheitsgruppen in einem der Subnetze zugeordnet sind. ENIsErlauben Sie dem Amazon Bedrock-Job, eine Verbindung zu Ressourcen in Ihrem VPC herzustellen. Weitere Informationen dazu ENIs finden Sie unter Elastic Network Interfaces im VPCAmazon-Benutzerhandbuch. Amazon Bedrock-TagsENIs, die es mit BedrockManaged und BedrockModelInvocationJobArn tags erstellt.

Wir empfehlen, mindestens ein Subnetz in jeder Availability Zone zur Verfügung zu stellen.

Sie können Sicherheitsgruppen verwenden, um Regeln für die Steuerung des Zugriffs von Amazon Bedrock auf Ihre VPC Ressourcen festzulegen.

Sie können die so konfigurierenVPC, dass sie entweder in der Konsole oder über die API verwendet werden. Wählen Sie die Registerkarte für Ihre bevorzugte Methode und folgen Sie dann den Schritten:

Console

Für die Amazon Bedrock-Konsole geben Sie VPC Subnetze und Sicherheitsgruppen im Abschnitt mit den optionalen VPCEinstellungen an, wenn Sie den Batch-Inferenzjob einreichen.

Anmerkung

Für einen Job, der die VPC Konfiguration beinhaltet, kann die Konsole nicht automatisch eine Servicerolle für Sie erstellen. Folgen Sie den Anweisungen unterErstellen Sie eine benutzerdefinierte Servicerolle für Batch-Inferenz, um eine benutzerdefinierte Rolle zu erstellen.

API

Wenn Sie eine CreateModelInvocationJobAnfrage einreichen, können Sie einen Parameter VpcConfig als Anfrage angeben, um die zu VPC verwendenden Subnetze und Sicherheitsgruppen anzugeben, wie im folgenden Beispiel.

"vpcConfig": { 
    "securityGroupIds": [
        "sg-0123456789abcdef0"
    ],
    "subnets": [
        "subnet-0123456789abcdef0",
        "subnet-0123456789abcdef1",
        "subnet-0123456789abcdef2"
    ]
}