Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Protección de los datos con Amazon VPC y AWS PrivateLink
Para controlar el acceso a sus datos, le recomendamos usar una nube privada virtual (VPC) con [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html). Al usar una VPC, protege sus datos y puede supervisar todo el tráfico de red que entra y sale de sus contenedores de trabajo de AWS mediante [registros de flujo de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html).
Puede proteger aún más sus datos configurando la VPC para que no estén disponibles en internet y, en su lugar, crear un punto de conexión de interfaz de la VPC con [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) para establecer una conexión privada con sus datos.
A continuación, se enumeran algunas características de Amazon Bedrock en las que puede utilizar la VPC para proteger sus datos:
+ Personalización de modelos: [(Opcional) Protección de los trabajos de personalización de modelos mediante una VPC](custom-model-job-access-security.md#vpc-model-customization)
+ Inferencia por lotes: [Protección de los trabajos de inferencia de lotes mediante una VPC](batch-vpc.md)
+ Bases de conocimiento de Amazon Bedrock: [acceso a Amazon OpenSearch sin servidor mediante un punto de conexión de interfaz (AWS PrivateLink)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html)
## Configurar una VPC
Puede usar una [VPC predeterminada](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html) o crear una nueva VPC siguiendo las instrucciones de [Introducción a Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html) y [Creación de una VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html).
Al crear la VPC, le recomendamos utilizar la configuración de DNS predeterminada para su tabla de enrutamiento de punto de conexión, de manera que se resuelvan las URL de Amazon S3 estándar (por ejemplo, `http://s3-aws-region.amazonaws.com/training-bucket`).
En los temas que siguen se muestra cómo configurar el punto de conexión de VPC con la ayuda de AWS PrivateLink y un ejemplo de uso de la VPC para proteger el acceso a los archivos de S3.
**Topics**
+ [Configurar una VPC](#create-vpc)
+ [Uso de un punto de conexión de VPC de interfaz (AWS PrivateLink) para crear una conexión privada entre la VPC y Amazon Bedrock](vpc-interface-endpoints.md)
+ [(Ejemplo) Restricción del acceso a los datos de Amazon S3 mediante VPC](vpc-s3.md)
# Uso de un punto de conexión de VPC de interfaz (AWS PrivateLink) para crear una conexión privada entre la VPC y Amazon Bedrock
Puede usarlo AWS PrivateLink para crear una conexión privada entre su VPC y Amazon Bedrock. Puede acceder a Amazon Bedrock como si estuviera en su VPC, sin utilizar una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. Direct Connect Las instancias de la VPC no necesitan direcciones IP públicas para acceder a Amazon Bedrock.
Esta conexión privada se establece mediante la creación de un *punto de conexión de interfaz* alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a Amazon Bedrock.
*Para obtener más información, consulte [Acceso directo AWS PrivateLink en la Servicios de AWSAWS PrivateLink guía](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html).*
## Consideraciones sobre los puntos de conexión de VPC de Amazon Bedrock
Antes de configurar un punto de conexión para Amazon Bedrock, consulte [Consideraciones](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) en la *Guía de AWS PrivateLink *.
Amazon Bedrock permite realizar las siguientes llamadas a la API a través de los puntos de conexión de VPC.
****
| Categoría | Sufijo de punto de conexión |
| --- | --- |
| [Acciones de la API del plano de control de Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock.html) | bedrock |
| [Acciones de la API de tiempo de ejecución de Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html) | bedrock-runtime |
| Acciones de la API Amazon Bedrock Mantle | bedrock-mantle |
| [Acciones de la API de tiempo de ejecución de agentes de Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock.html) | bedrock-agent |
| [Acciones de la API de tiempo de ejecución de agentes de Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock_Runtime.html) | bedrock-agent-runtime |
**Zonas de disponibilidad**
Los puntos de conexión de Amazon Bedrock y de agentes de Amazon Bedrock están disponibles en todas las zonas de disponibilidad.
## Creación de un punto de conexión de interfaz para Amazon Bedrock
Puede crear un punto final de interfaz para Amazon Bedrock mediante la consola de Amazon VPC o AWS Command Line Interface el AWS CLI(). Para obtener más información, consulte [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) en la *Guía de AWS PrivateLink *.
Cree un punto de conexión para Amazon Bedrock con cualquiera de los siguientes nombres de servicio:
+ `com.amazonaws.region.bedrock`
+ `com.amazonaws.region.bedrock-runtime`
+ `com.amazonaws.region.bedrock-mantle`
+ `com.amazonaws.region.bedrock-agent`
+ `com.amazonaws.region.bedrock-agent-runtime`
Cuando se crea el punto de conexión, tiene la opción de habilitar un nombre de host de DNS privado. Habilite esta configuración seleccionando Enable Private DNS Name (Habilitar nombre de DNS privado) en la consola de VPC al crear el punto de conexión de la VPC.
Si habilita DNS privado para el punto de conexión de interfaz, puede realizar solicitudes a la API para Amazon Bedrock usando su nombre de DNS predeterminado para la región. Los siguientes ejemplos muestran el formato de los nombres de DNS regionales predeterminados.
+ `bedrock.region.amazonaws.com`
+ `bedrock-runtime.region.amazonaws.com`
+ `bedrock-mantle.region.api.aws`
+ `bedrock-agent.region.amazonaws.com`
+ `bedrock-agent-runtime.region.amazonaws.com`
## Creación de una política de puntos de conexión para el punto de conexión de interfaz
Una política de punto de conexión es un recurso de IAM que puede adjuntar al punto de conexión de su interfaz. La política de puntos de conexión predeterminada permite acceso completo a Amazon Bedrock a través del punto de conexión de interfaz. Para controlar el acceso permitido a Amazon Bedrock desde la VPC, adjunte una política de puntos de conexión personalizada al punto de conexión de interfaz.
Una política de punto de conexión especifica la siguiente información:
+ Las entidades principales que pueden llevar a cabo acciones (Cuentas de AWS, usuarios de IAM y roles de IAM).
+ Las acciones que se pueden realizar.
+ El recurso en el que se pueden realizar las acciones.
Para obtener más información, consulte [Control del acceso a los servicios con políticas de punto de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) en la *Guía del usuario de AWS PrivateLink *.
**Ejemplo: política de punto de conexión de VPC para acciones de Amazon Bedrock**
El siguiente es un ejemplo de una política de un punto de conexión personalizado. Cuando asocia esta política basada en recursos con su punto de conexión de interfaz, se concede acceso a las acciones de Amazon Bedrock enumeradas para todas las entidades principales en todos los recursos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource":"*"
}
]
}
```
------
**Ejemplo: política de puntos de conexión de VPC para las acciones de Amazon Bedrock Mantle**
El siguiente es un ejemplo de una política de un punto de conexión personalizado. Al adjuntar esta política basada en recursos al punto final de la interfaz, otorga acceso a las acciones de Amazon Bedrock Mantle listadas a todos los directores de todos los recursos.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock-mantle:CreateInference"
],
"Resource":"*"
}
]
}
```
# (Ejemplo) Restricción del acceso a los datos de Amazon S3 mediante VPC
Puede usar una VPC para restringir el acceso a los datos de sus buckets de Amazon S3. Para una mayor seguridad, puede configurar la VPC sin acceso a internet y crear un punto de conexión para ella con AWS PrivateLink. También puede restringir el acceso asociando políticas basadas en recursos al punto de conexión de VPC o al bucket de S3.
**Topics**
+ [Creación de un punto de conexión de VPC de Amazon S3](#vpc-s3-create)
+ [(Opcional) Uso de políticas de IAM para restringir el acceso a archivos de S3](#vpc-policy-rbp)
## Creación de un punto de conexión de VPC de Amazon S3
Si configura su VPC sin acceso a internet, debe crear un [punto de conexión de VPC de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html) para permitir que los trabajos de personalización de modelos accedan a los buckets de S3 que almacenan sus datos de entrenamiento y validación y que almacenarán los artefactos del modelo.
Siga los pasos descritos en [Creación de un punto de conexión de un gateway para Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3) para crear el punto de conexión de VPC de puerta de enlace para S3.
**nota**
Si no utiliza la configuración de DNS predeterminada para su VPC, debe asegurarse de que las ubicaciones de los URLs datos en sus trabajos de entrenamiento se resuelvan configurando las tablas de rutas de los puntos finales. Para obtener más información sobre las tablas de enrutamiento de punto de conexión de VPC, consulte el [enrutamiento de puntos de conexión de la puerta de enlace](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing).
## (Opcional) Uso de políticas de IAM para restringir el acceso a archivos de S3
Puede usar [políticas basadas en recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) para controlar el acceso a sus archivos de S3 de forma más estricta. Puede usar cualquier combinación de los siguientes tipos de políticas basadas en recursos.
+ **Políticas de punto de conexión**: puede asociar políticas de punto de conexión a su punto de conexión de VPC para restringir el acceso a través del punto de conexión de VPC. La política de puntos de conexión predeterminada permite acceso completo a Amazon S3 a cualquier usuario o servicio de la VPC. Al crear el punto de conexión o después de crearlo, si lo desea, puede asociar una política basada en recursos al punto de conexión para añadir restricciones, por ejemplo, permitir que el punto de conexión solo acceda a un bucket específico o permitir que solo un rol de IAM específico acceda al punto de conexión. Para ver ejemplos, consulte [Edit the VPC endpoint policy](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#edit-vpc-endpoint-policy-s3).
El siguiente es un ejemplo de política que puede asociar al punto de conexión de VPC para que solo pueda acceder al bucket que especifique.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToTrainingBucket",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
]
}
]
}
```
------
+ **Políticas de bucket**: puede asociar una política de bucket a un bucket de S3 para restringir el acceso a dicho bucket. Para crear una política de bucket, siga los pasos que se indican en [Políticas de buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html). Para restringir el acceso al tráfico que proviene de la VPC, puede usar claves de condición para especificar la propia VPC, un punto de conexión de VPC o la dirección IP de la VPC. [Puede usar las claves de condición [aws:SourceVPC, [aws:SourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc) o aws:. VpcSourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpcsourceip)
El siguiente es un ejemplo de política que puede asociar a un bucket de S3 para denegar todo el tráfico al bucket, a menos que provenga de su VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToOutputBucket",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:sourceVpc": "vpc-11223344556677889"
}
}
}
]
}
```
------
Para ver más ejemplos, consulte [Control access using bucket policies](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#bucket-policies-s3).