Protección de los trabajos de inferencia de lotes mediante una VPC - Amazon Bedrock
Configuración de la VPC para proteger los datos durante la inferencia por lotesAsociación de permisos de VPC a un rol de inferencia por lotesAgregación de la configuración de VPC al enviar un trabajo de inferencia por lotes

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de los trabajos de inferencia de lotes mediante una VPC

Cuando ejecuta un trabajo de inferencia por lotes, el trabajo accede a su bucket de Amazon S3 para descargar los datos de entrada y escribir los datos de salida. Para controlar el acceso a sus datos, le recomendamos usar una nube privada virtual (VPC) con Amazon VPC. Puede proteger aún más sus datos configurando la VPC para que no estén disponibles en internet y, en su lugar, crear un punto de conexión de interfaz de la VPC con AWS PrivateLink para establecer una conexión privada con sus datos. Para obtener más información sobre cómo Amazon VPC se AWS PrivateLink integra con Amazon Bedrock, consulte. Proteja sus datos con Amazon VPC y AWS PrivateLink

Realice los siguientes pasos para configurar y usar una VPC para las peticiones de entrada y las respuestas del modelo de salida para sus trabajos de inferencia por lotes.

Configuración de la VPC para proteger los datos durante la inferencia por lotes

Para configurar una VPC, siga los pasos que se indican en Configurar una VPC. Para proteger aún más la VPC configurando un punto de conexión de VPC de S3 y utilizando políticas de IAM basadas en recursos para restringir el acceso al bucket de S3 que contiene sus datos de inferencia por lotes, siga los pasos que se indican en (Ejemplo) Restricción del acceso a los datos de Amazon S3 mediante VPC.

Asociación de permisos de VPC a un rol de inferencia por lotes

Cuando termine de configurar la VPC, asocie los siguientes permisos a su rol de servicio de inferencia por lotes para permitirle acceder a la VPC. Modifique esta política para permitir el acceso solo a los recursos de VPC que necesita su trabajo. Sustituya los valores subnet-ids y security-group-id por los de su VPC.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
                "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
                "arn:aws:ec2:${{region}}:${{account-id}}:security-group/${{security-group-id}}"
            ],
            "Condition": {
               "StringEquals": { 
                   "aws:RequestTag/BedrockManaged": ["true"]
                },
                "ArnEquals": {
                   "aws:RequestTag/BedrockModelInvocationJobArn": 
                   ["arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"]
               }
            }
        },
        {
            "Sid": "3",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:Subnet": [
                        "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}"
                    ]
                },
                "ArnEquals": {
                    "ec2:ResourceTag/BedrockModelInvocationJobArn": [
                        "arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "4",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]    
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelInvocationJobArn"
                    ]
                }
             }
        }
    ]
}

Agregación de la configuración de VPC al enviar un trabajo de inferencia por lotes

Tras configurar la VPC y los roles y permisos necesarios, tal y como se describe en las secciones anteriores, puede crear un trabajo de inferencia por lotes que utilice esta VPC.

nota

Actualmente, al crear un trabajo de inferencia por lotes, solo puede usar una VPC a través de la API.

Al especificar las subredes y los grupos de seguridad de la VPC para un trabajo, Amazon Bedrock crea interfaces de red elásticas (ENIs) que se asocian a los grupos de seguridad de una de las subredes. ENIs permita que el trabajo de Amazon Bedrock se conecte a los recursos de su VPC. Para obtener información al respecto ENIs, consulte Elastic Network Interfaces en la Guía del usuario de Amazon VPC. Etiquetas de Amazon Bedrock con las ENIs que crea BedrockManaged y BedrockModelInvocationJobArn etiquetas.

Le recomendamos que proporcione al menos una subred en cada zona de disponibilidad.

Puede utilizar los grupos de seguridad para controlar el acceso de Amazon Bedrock a los recursos de su VPC.

Puede configurar la VPC para que use la consola o mediante la API. Elige la pestaña del método que prefieras y, a continuación, sigue los pasos:

Console

Para la consola de Amazon Bedrock, debe especificar las subredes y los grupos de seguridad de VPC en la sección de configuración de VPC opcional al enviar el trabajo de inferencia por lotes.

nota

Para un trabajo que incluye una configuración de VPC, la consola no puede crear un nuevo rol de servicio para usted. Siga las instrucciones de Crear un rol de servicio personalizado para la inferencia por lotes para crear un rol personalizado.

API

Al enviar una CreateModelInvocationJobsolicitud, puede incluir un VpcConfig parámetro de solicitud para especificar las subredes de VPC y los grupos de seguridad que se van a utilizar, como en el siguiente ejemplo.

"vpcConfig": { 
    "securityGroupIds": [
        "sg-0123456789abcdef0"
    ],
    "subnets": [
        "subnet-0123456789abcdef0",
        "subnet-0123456789abcdef1",
        "subnet-0123456789abcdef2"
    ]
}