(Opcional) Proteja los trabajos de importación de modelos personalizados mediante un VPC - Amazon Bedrock
Configure un VPCCreación de un VPC punto de conexión Amazon S3(Opcional) Utilice IAM políticas para restringir el acceso a los archivos de S3Adjunte VPC permisos a una función de importación de modelos personalizada.Añada la VPC configuración al enviar un trabajo de importación de modelos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

(Opcional) Proteja los trabajos de importación de modelos personalizados mediante un VPC

Cuando ejecuta un trabajo de importación de modelos personalizados, el trabajo accede a su bucket de Amazon S3 para descargar los datos de entrada y cargar las métricas del trabajo. Para controlar el acceso a tus datos, te recomendamos que utilices una nube privada virtual (VPC) con Amazon VPC. Para proteger aún más sus datos, puede configurarlos VPC para que no estén disponibles en Internet y, en su lugar, crear un punto final de VPC interfaz con el AWS PrivateLinkque establecer una conexión privada con sus datos. Para obtener más información sobre cómo Amazon VPC y Amazon se AWS PrivateLink integran con Amazon Bedrock, consulteProtección de los datos con Amazon VPC y AWS PrivateLink.

Realice los siguientes pasos para configurar y usar un VPC para importar sus modelos personalizados.

Configure un VPC

Puedes usar un valor predeterminado VPC para los datos de importación de tu modelo o crear uno nuevo VPC siguiendo las instrucciones de Comenzar con Amazon VPC y Crear un VPC.

Al crear la suyaVPC, le recomendamos que utilice la DNS configuración predeterminada para la tabla de rutas de puntos finales, de modo que se resuelva el Amazon S3 estándar URLs (por ejemplohttp://s3-aws-region.amazonaws.com/model-bucket).

Creación de un VPC punto de conexión Amazon S3

Si lo configura VPC sin acceso a Internet, debe crear un VPCpunto de conexión Amazon S3 para permitir que los trabajos de importación de su modelo accedan a los depósitos de S3 que almacenan sus datos de entrenamiento y validación y que almacenarán los artefactos del modelo.

Cree el VPC punto de enlace S3 siguiendo los pasos que se indican en Crear un punto de enlace de puerta de enlace para Amazon S3.

nota

Si no utiliza la DNS configuración predeterminada para sus tareas de entrenamientoVPC, debe asegurarse de que las ubicaciones de los URLs datos en sus trabajos de entrenamiento se resuelvan configurando las tablas de rutas de los puntos finales. Para obtener información sobre las tablas VPC de rutas de puntos finales, consulte Enrutamiento para puntos finales de Gateway.

(Opcional) Utilice IAM políticas para restringir el acceso a los archivos de S3

Puede usar políticas basadas en recursos para controlar el acceso a sus archivos de S3 de forma más estricta. Puede usar el siguiente tipo de política basada en recursos.

  • Políticas de puntos finales: las políticas de puntos finales restringen el acceso a través del VPC punto final. La política de puntos de conexión predeterminada permite el acceso total a Amazon S3 para cualquier usuario o servicio de su empresaVPC. Al crear el punto de conexión o después de crearlo, puede adjuntar opcionalmente una política basada en recursos al punto de conexión para añadir restricciones, por ejemplo, permitir que el punto de conexión solo acceda a un depósito específico o permitir que solo un IAM rol específico acceda al punto de conexión. Para ver ejemplos, consulte Editar la política de VPC puntos finales.

    El siguiente es un ejemplo de política que puede adjuntar a su VPC dispositivo de punto final para permitir que solo acceda al depósito que contiene los pesos de su modelo.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictAccessToModelWeightsBucket",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::model-weights-bucket",
                "arn:aws:s3:::model-weights-bucket/*"
            ]
        }
    ]
}

Adjunte VPC permisos a una función de importación de modelos personalizada.

Cuando termine de configurar su terminal VPC y su terminal, tendrá que adjuntar los siguientes permisos a su IAMfunción de importación de modelos. Modifique esta política para permitir el acceso únicamente a los VPC recursos que su trabajo necesita. Sustituya los valores subnet-ids y security-group-id por los valores de suVPC.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
                    ],
            "Resource": "*"
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
            ],
            "Resource":[
               "arn:aws:ec2:region:account-id:network-interface/*"
            ],
            "Condition": {
               "StringEquals": { 
                   "aws:RequestTag/BedrockManaged": ["true"]
                },
                "ArnEquals": {
                   "aws:RequestTag/BedrockModelImportJobArn": ["arn:aws:bedrock:region:account-id:model-import-job/*"]
               }
            }
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
            ],
            "Resource":[
               "arn:aws:ec2:region:account-id:subnet/subnet-id",
               "arn:aws:ec2:region:account-id:subnet/subnet-id2",
               "arn:aws:ec2:region:account-id:security-group/security-group-id"
            ]
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
            ],
            "Resource": "*",
            "Condition": {
               "ArnEquals": {
                   "ec2:Subnet": [
                       "arn:aws:ec2:region:account-id:subnet/subnet-id",
                       "arn:aws:ec2:region:account-id:subnet/subnet-id2"
                   ],
                   "ec2:ResourceTag/BedrockModelImportJobArn": ["arn:aws:bedrock:region:account-id:model-import-job/*"]
               },
               "StringEquals": { 
                   "ec2:ResourceTag/BedrockManaged": "true"
               }
            }
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:region:account-id:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]    
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelImportJobArn"
                    ]
                }
         }
    ]
}

Añada la VPC configuración al enviar un trabajo de importación de modelos

Tras configurar los roles VPC y permisos necesarios, tal y como se describe en las secciones anteriores, puede crear un trabajo de importación de modelos que los utiliceVPC.

Al especificar las VPC subredes y los grupos de seguridad para un trabajo, Amazon Bedrock crea interfaces de red elásticas (ENIs) que se asocian a los grupos de seguridad de una de las subredes. ENIspermita que el trabajo de Amazon Bedrock se conecte a los recursos de suVPC. Para obtener información al respectoENIs, consulte Elastic Network Interfaces en la Guía del VPC usuario de Amazon. Etiquetas de Amazon Bedrock con las ENIs que crea BedrockManaged y BedrockModelImportJobArn etiquetas.

Le recomendamos que proporcione al menos una subred en cada zona de disponibilidad.

Puede usar grupos de seguridad para establecer reglas que controlen el acceso de Amazon Bedrock a sus VPC recursos.

Puede configurarlos VPC para usarlos en la consola o a través delAPI. Elija la pestaña del método que prefiera y, a continuación, siga los pasos:

Console

En el caso de la consola Amazon Bedrock, debe especificar VPC las subredes y los grupos de seguridad en la sección de VPCconfiguración opcional al crear el trabajo de importación del modelo. Para obtener más información sobre la configuración de trabajos de importación de modelos, consulte Envío de un trabajo de importación de modelos.

API

Al enviar una CreateModelCustomizationJobsolicitud, puede incluir un VpcConfig parámetro de solicitud para especificar las VPC subredes y los grupos de seguridad que se van a utilizar, como en el siguiente ejemplo.

"VpcConfig": { 
"SecurityGroupIds": [
    "sg-0123456789abcdef0"
    ],
    "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
     ]
 }