Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wenn Sie einen Importauftrag für ein benutzerdefiniertes Modell ausführen, greift der Job auf Ihren Amazon S3 S3-Bucket zu, um die Eingabedaten herunterzuladen und Job-Metriken hochzuladen. Um den Zugriff auf Ihre Daten zu kontrollieren, empfehlen wir Ihnen, eine Virtual Private Cloud (VPC) mit Amazon VPC zu verwenden. Sie können Ihre Daten weiter schützen, indem Sie Ihre VPC so konfigurieren, dass Ihre Daten nicht über das Internet verfügbar sind, und stattdessen einen VPC-Schnittstellenendpunkt einrichten, AWS PrivateLinkum eine private Verbindung zu Ihren Daten herzustellen. Weitere Informationen zur AWS PrivateLink Integration von Amazon VPC mit Amazon Bedrock finden Sie unter. Schützen Sie Ihre Daten mit Amazon VPC und AWS PrivateLink
Führen Sie die folgenden Schritte aus, um eine VPC für den Import Ihrer benutzerdefinierten Modelle zu konfigurieren und zu verwenden.
Themen
Richten Sie eine VPC ein
Sie können eine Standard-VPC für Ihre Modellimportdaten verwenden oder eine neue VPC erstellen, indem Sie den Anweisungen unter Erste Schritte mit Amazon VPC und Erstellen einer VPC folgen.
Wenn Sie Ihre VPC erstellen, empfehlen wir Ihnen, die Standard-DNS-Einstellungen für Ihre Endpunkt-Routing-Tabelle zu verwenden, damit die Standardlösung von Amazon S3 URLs (z. B.http://s3-aws-region.amazonaws.com/) gelöst wird.model-bucket
Erstellen eines Amazon S3 VPC-Endpunkts
Wenn Sie Ihre VPC ohne Internetzugang konfigurieren, müssen Sie einen Amazon S3 S3-VPC-Endpunkt erstellen, damit Ihre Modellimportaufträge auf die S3-Buckets zugreifen können, in denen Ihre Trainings- und Validierungsdaten gespeichert sind und in denen die Modellartefakte gespeichert werden.
Erstellen Sie den S3-VPC-Endpunkt, indem Sie den Schritten unter Erstellen eines Gateway-Endpunkts für Amazon S3 folgen.
Anmerkung
Wenn Sie nicht die Standard-DNS-Einstellungen für Ihre VPC verwenden, müssen Sie sicherstellen, dass die Speicherorte der URLs Daten in Ihren Trainingsjobs aufgelöst werden, indem Sie die Endpunkt-Routing-Tabellen konfigurieren. Informationen zu VPC-Endpunkt-Routingtabellen finden Sie unter Routing für Gateway-Endpunkte.
(Optional) Verwenden Sie IAM-Richtlinien, um den Zugriff auf Ihre S3-Dateien einzuschränken
Sie können ressourcenbasierte Richtlinien verwenden, um den Zugriff auf Ihre S3-Dateien genauer zu kontrollieren. Sie können die folgende Art von ressourcenbasierter Richtlinie verwenden.
-
Endpunktrichtlinien — Endpunktrichtlinien beschränken den Zugriff über den VPC-Endpunkt. Standardmäßig wird über die Endpunktrichtlinie allen Benutzern oder Services in Ihrer VPC Vollzugriff auf Amazon S3 gewährt. Bei der Erstellung oder nach der Erstellung des Endpunkts können Sie optional eine ressourcenbasierte Richtlinie an den Endpunkt anhängen, um Einschränkungen hinzuzufügen, z. B. dem Endpunkt nur den Zugriff auf einen bestimmten Bucket oder nur einer bestimmten IAM-Rolle den Zugriff auf den Endpunkt zu gestatten. Beispiele finden Sie unter Bearbeiten der VPC-Endpunktrichtlinie.
Im Folgenden finden Sie eine Beispielrichtlinie, die Sie an Ihren VPC-Endpunkt anhängen können, sodass er nur auf den Bucket zugreifen kann, der Ihre Modellgewichte enthält.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToModelWeightsBucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::model-weights-bucket", "arn:aws:s3:::model-weights-bucket/*" ] } ] }
Ordnen Sie VPC-Berechtigungen einer Importrolle für ein benutzerdefiniertes Modell zu.
Nachdem Sie die Einrichtung Ihrer VPC und Ihres Endpunkts abgeschlossen haben, müssen Sie Ihrer Modellimport-IAM-Rolle die folgenden Berechtigungen zuweisen. Ändern Sie diese Richtlinie, um nur Zugriff auf die VPC-Ressourcen zu gewähren, die Ihr Job benötigt. Ersetzen Sie das subnet-ids und security-group-id durch die Werte aus Ihrer VPC.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
],
"Resource":[
"arn:aws:ec2:region:account-id:network-interface/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/BedrockManaged": ["true"]
},
"ArnEquals": {
"aws:RequestTag/BedrockModelImportJobArn": ["arn:aws:bedrock:region:account-id:model-import-job/*"]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
],
"Resource":[
"arn:aws:ec2:region:account-id:subnet/subnet-id",
"arn:aws:ec2:region:account-id:subnet/subnet-id2",
"arn:aws:ec2:region:account-id:security-group/security-group-id"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"ec2:Subnet": [
"arn:aws:ec2:region:account-id:subnet/subnet-id",
"arn:aws:ec2:region:account-id:subnet/subnet-id2"
],
"ec2:ResourceTag/BedrockModelImportJobArn": ["arn:aws:bedrock:region:account-id:model-import-job/*"]
},
"StringEquals": {
"ec2:ResourceTag/BedrockManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:region:account-id:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": [
"CreateNetworkInterface"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"BedrockManaged",
"BedrockModelImportJobArn"
]
}
}
]
}Fügen Sie die VPC-Konfiguration hinzu, wenn Sie einen Modellimportjob einreichen
Nachdem Sie die VPC und die erforderlichen Rollen und Berechtigungen wie in den vorherigen Abschnitten beschrieben konfiguriert haben, können Sie einen Modellimportjob erstellen, der diese VPC verwendet.
Wenn Sie die VPC-Subnetze und Sicherheitsgruppen für einen Job angeben, erstellt Amazon Bedrock elastische Netzwerkschnittstellen (ENIs), die Ihren Sicherheitsgruppen in einem der Subnetze zugeordnet sind. ENIs Erlauben Sie dem Amazon Bedrock-Job, eine Verbindung zu Ressourcen in Ihrer VPC herzustellen. Weitere Informationen dazu ENIs finden Sie unter Elastic Network Interfaces im Amazon VPC-Benutzerhandbuch. Amazon Bedrock-Tags ENIs , die es mit BedrockManaged und BedrockModelImportJobArn tags erstellt.
Wir empfehlen, mindestens ein Subnetz in jeder Availability Zone zur Verfügung zu stellen.
Sie können Sicherheitsgruppen verwenden, um Regeln für die Steuerung des Zugriffs von Amazon Bedrock auf Ihre VPC-Ressourcen festzulegen.
Sie können die VPC so konfigurieren, dass sie entweder in der Konsole oder über die API verwendet wird. Wählen Sie die Registerkarte für Ihre bevorzugte Methode und folgen Sie dann den Schritten:
Für die Amazon Bedrock-Konsole geben Sie VPC-Subnetze und Sicherheitsgruppen im Abschnitt „Optionale VPC-Einstellungen“ an, wenn Sie den Modellimport-Job erstellen. Weitere Informationen zur Konfiguration von Modellimportaufträgen finden Sie unter. Einen Modellimportauftrag einreichen
