Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Schützen Ihrer Daten mit Amazon VPC und AWS PrivateLink
Wenn Sie den Zugriff auf Ihre Daten kontrollieren möchten, empfehlen wir Ihnen, eine Virtual Private Cloud (VPC) mit [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) zu erstellen. Durch den Einsatz einer VPC werden Ihre Daten geschützt und Sie können den gesamten ein- und ausgehenden Netzwerkverkehr der AWS-Auftragscontainer mithilfe von [VPC-Flow-Protokollen](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) überwachen.
Sie können Ihre Daten zusätzlich schützen, indem Sie Ihre VPC so konfigurieren, dass Ihre Daten nicht über das Internet verfügbar sind, und stattdessen einen VPC-Schnittstellenendpunkt mit [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) erstellen, um eine private Verbindung zu Ihren Daten herzustellen.
Im Folgenden sind einige Features von Amazon Bedrock aufgeführt, in denen Sie VPC zum Schutz Ihrer Daten verwenden können:
+ Modellanpassung – [(Optional) Schützen der Modellanpassungsaufträge mit einer VPC](custom-model-job-access-security.md#vpc-model-customization)
+ Batch-Inferenz – [Schützen von Batch-Inferenzaufträgen mit einer VPC](batch-vpc.md)
+ Amazon-Bedrock-Wissensdatenbanken – [Zugriff auf Amazon OpenSearch Serverless über einen Schnittstellen-Endpunkt (AWS PrivateLink)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html)
## Einrichten einer VPC
Sie können eine [Standard-VPC](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html) verwenden oder eine neue VPC erstellen, indem Sie die Anleitungen unter [Erste Schritte mit Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html) und [Erstellen einer VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) befolgen.
Wenn Sie Ihre VPC erstellen, wird empfohlen, die Standard-DNS-Einstellungen für Ihre Endpunkt-Routing-Tabelle zu verwenden, damit Standard-URLs von Amazon S3 (z. B. `http://s3-aws-region.amazonaws.com/training-bucket`) aufgelöst werden.
Die folgenden Themen zeigen, wie Sie den VPC-Endpunkt mit einem AWS PrivateLink einrichten, und enthalten ein Beispiel für einen Anwendungsfall für die Verwendung von VPC zum Schutz des Zugriffs auf Ihre S3-Dateien.
**Topics**
+ [Einrichten einer VPC](#create-vpc)
+ [Verwenden eines Schnittstellen-VPC-Endpunkts (AWS PrivateLink), um eine private Verbindung zwischen Ihrer VPC und Amazon Bedrock herzustellen](vpc-interface-endpoints.md)
+ [(Beispiel) Beschränken des Datenzugriffs auf Ihre Amazon-S3-Daten mit VPC](vpc-s3.md)
# Verwenden eines Schnittstellen-VPC-Endpunkts (AWS PrivateLink), um eine private Verbindung zwischen Ihrer VPC und Amazon Bedrock herzustellen
Sie können AWS PrivateLink es verwenden, um eine private Verbindung zwischen Ihrer VPC und Amazon Bedrock herzustellen. Sie können auf Amazon Bedrock zugreifen, als wäre es in Ihrer VPC, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung zu verwenden. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen für den Zugriff auf Amazon Bedrock.
Sie stellen diese private Verbindung her, indem Sie einen *Schnittstellen-Endpunkt* erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Hierbei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Eingangspunkt für den Datenverkehr dienen, der für Amazon Bedrock bestimmt ist.
*Weitere Informationen finden Sie AWS PrivateLink im Leitfaden unter [Zugriff AWS-Services durch](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html).AWS PrivateLink *
## Überlegungen zu VPC-Endpunkten von Amazon Bedrock
Bevor Sie einen Schnittstellenendpunkt für Amazon Bedrock einrichten, sehen Sie sich die [Überlegungen](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) im *AWS PrivateLink -Leitfaden* an.
Amazon Bedrock unterstützt die folgenden API-Aufrufe über VPC-Endpunkte.
****
| Kategorie | Endpunktsuffix |
| --- | --- |
| [API-Aktionen der Steuerebene für Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock.html) | bedrock |
| [Runtime-API-Aktionen für Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html) | bedrock-runtime |
| Amazon Bedrock Mantle API-Aktionen | bedrock-mantle |
| [Build-Time-API-Aktionen für Agenten für Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock.html) | bedrock-agent |
| [Runtime-API-Aktionen für Agenten für Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock_Runtime.html) | bedrock-agent-runtime |
**Availability Zones**
Endpunkte für Amazon Bedrock und Agenten für Amazon Bedrock sind in mehreren Availability Zones verfügbar.
## Erstellen eines Schnittstellenendpunkts für Amazon Bedrock
Sie können einen Schnittstellenendpunkt für Amazon Bedrock entweder mit der Amazon VPC-Konsole oder mit AWS Command Line Interface ()AWS CLI erstellen. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) im *AWS PrivateLink -Leitfaden*.
Erstellen Sie einen Schnittstellenendpunkt für Amazon Bedrock mit einem der folgenden Servicenamen:
+ `com.amazonaws.region.bedrock`
+ `com.amazonaws.region.bedrock-runtime`
+ `com.amazonaws.region.bedrock-mantle`
+ `com.amazonaws.region.bedrock-agent`
+ `com.amazonaws.region.bedrock-agent-runtime`
Wenn der Endpunkt erstellt wurde, haben Sie die Möglichkeit, einen privaten DNS-Hostnamen zu aktivieren. Aktivieren Sie diese Einstellung, indem Sie Privaten DNS-Namen aktivieren in der VPC-Konsole auswählen, wenn Sie den VPC-Endpunkt erstellen.
Wenn Sie privates DNS für den Schnittstellenendpunkt aktivieren, können Sie API-Anfragen an Amazon Bedrock unter Verwendung seines standardmäßigen regionalen DNS-Namens stellen. Die folgenden Beispiele zeigen das Format der standardmäßigen regionalen DNS-Namen.
+ `bedrock.region.amazonaws.com`
+ `bedrock-runtime.region.amazonaws.com`
+ `bedrock-mantle.region.api.aws`
+ `bedrock-agent.region.amazonaws.com`
+ `bedrock-agent-runtime.region.amazonaws.com`
## Erstellen einer Endpunktrichtlinie für Ihren Schnittstellen-Endpunkt
Eine Endpunktrichtlinie ist eine IAM-Ressource, die Sie an einen Schnittstellen-Endpunkt anfügen können. Die Standard-Endpunktrichtlinie ermöglicht den vollständigen Zugriff auf Amazon Bedrock über den Schnittstellenendpunkt. Wenn Sie den Zugriff auf Amazon Bedrock von Ihrer VPC aus steuern möchten, fügen Sie eine benutzerdefinierte Endpunktrichtlinie an den Schnittstellenendpunkt an.
Eine Endpunktrichtlinie gibt die folgenden Informationen an:
+ Die Prinzipale, die Aktionen ausführen können (AWS-Konten, IAM-Benutzer und IAM-Rollen).
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, auf denen die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter [Steuern des Zugriffs auf Services mit Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *AWS PrivateLink -Leitfaden*.
**Beispiel: VPC-Endpunktrichtlinie für Amazon-Bedrock-Aktionen**
Im Folgenden finden Sie ein Beispiel für eine benutzerdefinierte Endpunktrichtlinie. Wenn diese ressourcenbasierte Richtlinie an einen Schnittstellenendpunkt anfügen, gewährt sie Zugriff auf die aufgelisteten Amazon-Bedrock-Aktionen für alle Prinzipale sämtlicher Ressourcen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource":"*"
}
]
}
```
------
**Beispiel: VPC-Endpunktrichtlinie für Amazon Bedrock Mantle-Aktionen**
Im Folgenden finden Sie ein Beispiel für eine benutzerdefinierte Endpunktrichtlinie. Wenn Sie diese ressourcenbasierte Richtlinie an Ihren Schnittstellenendpunkt anhängen, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf die aufgelisteten Amazon Bedrock Mantle-Aktionen.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock-mantle:CreateInference"
],
"Resource":"*"
}
]
}
```
# (Beispiel) Beschränken des Datenzugriffs auf Ihre Amazon-S3-Daten mit VPC
Sie können den Zugriff auf Daten in Ihren Amazon-S3-Buckets mit einer VPC einschränken. Zur weiteren Sicherheit können Sie Ihre VPC ohne Internetzugang konfigurieren und mit AWS PrivateLink einen Endpunkt für sie erstellen. Sie können den Zugriff auch einschränken, indem Sie ressourcenbasierte Richtlinien an den VPC-Endpunkt oder den S3-Bucket anfügen.
**Topics**
+ [Erstellen eines Amazon S3 VPC-Endpunkts](#vpc-s3-create)
+ [(Optional) Verwenden Sie IAM-Richtlinien, um den Zugriff auf Ihre S3-Dateien einzuschränken](#vpc-policy-rbp)
## Erstellen eines Amazon S3 VPC-Endpunkts
Wenn Sie Ihre VPC ohne Internetzugang konfigurieren, müssen Sie einen [Amazon-S3-VPC-Endpunkt](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html) erstellen, damit Ihre Modellanpassungsaufträge auf die S3-Buckets zugreifen können, in denen Ihre Trainings- und Validierungsdaten gespeichert sind und die Modellartefakte gespeichert werden.
Erstellen Sie den S3-VPC-Endpunkt, indem Sie die Schritte unter [Erstellen eines Gateway-Endpunkts für Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3) ausführen.
**Anmerkung**
Wenn Sie nicht die Standard-DNS-Einstellungen für Ihre VPC verwenden, müssen Sie sicherstellen, dass die Speicherorte der URLs Daten in Ihren Trainingsjobs aufgelöst werden, indem Sie die Endpunkt-Routing-Tabellen konfigurieren. Weitere Informationen zu den Routing-Tabellen der VPC-Endpunkte finden Sie unter [Routing für Gateway-Endpunkte](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing).
## (Optional) Verwenden Sie IAM-Richtlinien, um den Zugriff auf Ihre S3-Dateien einzuschränken
Der Zugriff auf Ihre S3-Dateien lässt sich mit [ressourcenbasierten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) steuern. Sie können eine beliebige Kombination der folgenden Typen von ressourcenbasierten Richtlinien verwenden.
+ **Endpunktrichtlinien** – Sie können Endpunktrichtlinien an Ihren VPC-Endpunkt anfügen, um den Zugriff über den VPC-Endpunkt einzuschränken. Standardmäßig wird über die Endpunktrichtlinie allen Benutzern oder Services in Ihrer VPC Vollzugriff auf Amazon S3 gewährt. Bei oder nach der Erstellung des Endpunkts können Sie optional eine ressourcenbasierte Richtlinie an den Endpunkt anfügen, um Einschränkungen hinzuzufügen, z. B. dem Endpunkt nur den Zugriff auf einen bestimmten Bucket oder nur einer bestimmten IAM-Rolle den Zugriff auf den Endpunkt zu gestatten. Beispiele finden Sie unter [Bearbeiten der VPC-Endpunktrichtlinie](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#edit-vpc-endpoint-policy-s3).
Im Folgenden finden Sie eine Beispielrichtlinie, die Sie an Ihren VPC-Endpunkt anfügen können, sodass er auf den von Ihnen angegebenen Bucket zugreifen kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToTrainingBucket",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
]
}
]
}
```
------
+ **Bucket-Richtlinien** – Sie können eine Bucket-Richtlinie an einen S3-Bucket anfügen, um den Zugriff darauf einzuschränken. Um eine Bucket-Richtlinie zu erstellen, folgen Sie den Schritten unter [Verwenden von Bucket-Richtlinien](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html). Um den Zugriff auf den Datenverkehr zu beschränken, der von Ihrer VPC stammt, können Sie Bedingungsschlüssel verwenden, um die VPC selbst, einen VPC-Endpunkt oder die IP-Adresse der VPC anzugeben. [Sie können die Bedingungsschlüssel [aws:sourceVPC, [aws:sourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc) oder aws: verwenden. VpcSourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpcsourceip)
Im Folgenden finden Sie eine Beispielrichtlinie, die Sie an einen S3-Bucket anhängen können, um den gesamten Datenverkehr zum Bucket zu verweigern, sofern er nicht von Ihrer VPC stammt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToOutputBucket",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:sourceVpc": "vpc-11223344556677889"
}
}
}
]
}
```
------
Weitere Beispiele finden Sie unter [Zugriffskontrolle mithilfe von Bucket-Richtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#bucket-policies-s3).