[Optional] Schützen Sie Ihre Modellanpassungsaufträge mit einem VPC - Amazon Bedrock
Richten Sie VPC es so ein, dass Ihre Daten bei der Modellanpassung geschützt sindOrdnen Sie einer VPC Rolle für die Modellanpassung Berechtigungen zuFügen Sie die VPC Konfiguration hinzu, wenn Sie einen Auftrag zur Modellanpassung einreichen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

[Optional] Schützen Sie Ihre Modellanpassungsaufträge mit einem VPC

Wenn Sie einen Modellanpassungsauftrag ausführen, greift der Auftrag auf Ihren Amazon-S3-Bucket zu, um die Eingabedaten herunter- und Auftragsmetriken hochzuladen. Um den Zugriff auf Ihre Daten zu kontrollieren, empfehlen wir Ihnen, eine virtuelle private Cloud (VPC) mit Amazon zu verwendenVPC. Sie können Ihre Daten weiter schützen, indem Sie Ihre VPC so konfigurieren, dass Ihre Daten nicht über das Internet verfügbar sind, und stattdessen einen VPC Schnittstellenendpunkt einrichten, mit dem AWS PrivateLinkSie eine private Verbindung zu Ihren Daten herstellen können. Weitere Informationen zur AWS PrivateLink Integration von Amazon VPC mit Amazon Bedrock finden Sie unterSchützen Sie Ihre Daten mit Amazon VPC und AWS PrivateLink.

Führen Sie die folgenden Schritte aus, um Daten VPC für das Training, die Validierung und die Ausgabe von Daten für Ihre Modellanpassungen zu konfigurieren und zu verwenden.

Richten Sie VPC es so ein, dass Ihre Daten bei der Modellanpassung geschützt sind

Um eine einzurichtenVPC, folgen Sie den Schritten unterRichten Sie ein VPC. Sie können Ihren weiter schützen, VPC indem Sie einen VPC S3-Endpunkt einrichten und ressourcenbasierte IAM Richtlinien verwenden, um den Zugriff auf den S3-Bucket, der Ihre Modellanpassungsdaten enthält, einzuschränken, indem Sie die Schritte unter befolgen. (Beispiel) Beschränken Sie den Datenzugriff auf Ihre Amazon S3 S3-Daten mit VPC

Ordnen Sie einer VPC Rolle für die Modellanpassung Berechtigungen zu

Nachdem Sie Ihre eingerichtet habenVPC, fügen Sie Ihrer Servicerolle für die Modellanpassung die folgenden Berechtigungen zu, damit sie auf die zugreifen kannVPC. Ändern Sie diese Richtlinie so, dass Sie nur auf die VPC Ressourcen zugreifen können, die für Ihren Job benötigt werden. Ersetzen Sie das ${{subnet-ids}} and security-group-id mit den Werten von deinemVPC.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
            ],
            "Resource":[
               "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*"
            ],
            "Condition": {
               "StringEquals": { 
                   "aws:RequestTag/BedrockManaged": ["true"]
                },
                "ArnEquals": {
                   "aws:RequestTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"]
               }
            }
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
            ],
            "Resource":[
               "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
               "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}",
               "arn:aws:ec2:${{region}}:${{account-id}}:security-group/security-group-id"
            ]
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
            ],
            "Resource": "*",
            "Condition": {
               "ArnEquals": {
                   "ec2:Subnet": [
                       "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
                       "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}"
                   ],
                   "ec2:ResourceTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"]
               },
               "StringEquals": { 
                   "ec2:ResourceTag/BedrockManaged": "true"
               }
            }
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]    
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelCustomizationJobArn"
                    ]
                }
            }
        }
    ]
}

Fügen Sie die VPC Konfiguration hinzu, wenn Sie einen Auftrag zur Modellanpassung einreichen

Nachdem Sie die VPC und die erforderlichen Rollen und Berechtigungen wie in den vorherigen Abschnitten beschrieben konfiguriert haben, können Sie einen Modellierungsanpassungsjob erstellen, der diese verwendetVPC.

Wenn Sie die VPC Subnetze und Sicherheitsgruppen für einen Job angeben, erstellt Amazon Bedrock elastische Netzwerkschnittstellen (ENIs), die Ihren Sicherheitsgruppen in einem der Subnetze zugeordnet sind. ENIsErlauben Sie dem Amazon Bedrock-Job, eine Verbindung zu Ressourcen in Ihrem VPC herzustellen. Weitere Informationen dazu ENIs finden Sie unter Elastic Network Interfaces im VPCAmazon-Benutzerhandbuch. Amazon Bedrock-TagsENIs, die es mit BedrockManaged und BedrockModelCusomizationJobArn tags erstellt.

Wir empfehlen, mindestens ein Subnetz in jeder Availability Zone zur Verfügung zu stellen.

Sie können Sicherheitsgruppen verwenden, um Regeln für die Steuerung des Zugriffs von Amazon Bedrock auf Ihre VPC Ressourcen festzulegen.

Sie können die so konfigurierenVPC, dass sie entweder in der Konsole oder über die API verwendet werden. Wählen Sie die Registerkarte aus, die der Methode Ihrer Wahl entspricht, und folgen Sie den Schritten:

Console

Für die Amazon Bedrock-Konsole geben Sie VPC Subnetze und Sicherheitsgruppen im Bereich optionale VPCEinstellungen an, wenn Sie den Modellierungsanpassungsauftrag erstellen. Weitere Informationen zur Konfiguration von Jobs finden Sie unter. Reichen Sie einen Job zur Modellanpassung ein

Anmerkung

Für einen Job, der die VPC Konfiguration beinhaltet, kann die Konsole nicht automatisch eine Servicerolle für Sie erstellen. Folgen Sie den Anweisungen unterErstellen Sie eine Servicerolle für die Modellanpassung, um eine benutzerdefinierte Rolle zu erstellen.

API

Wenn Sie eine CreateModelCustomizationJobAnfrage einreichen, können Sie einen Parameter VpcConfig als Anfrage angeben, um die zu VPC verwendenden Subnetze und Sicherheitsgruppen anzugeben, wie im folgenden Beispiel.

"vpcConfig": { 
    "securityGroupIds": [
        "${{sg-0123456789abcdef0}}"
    ],
    "subnets": [
        "${{subnet-0123456789abcdef0}}",
        "${{subnet-0123456789abcdef1}}",
        "${{subnet-0123456789abcdef2}}"
    ]
}