[Opcional] Proteja sus trabajos de personalización de modelos mediante un VPC - Amazon Bedrock
Configurado VPC para proteger sus datos durante la personalización del modeloAdjunte VPC permisos a una función de personalización del modeloAñada la VPC configuración al enviar un trabajo de personalización de modelos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

[Opcional] Proteja sus trabajos de personalización de modelos mediante un VPC

Cuando ejecuta un trabajo de personalización de modelos, el trabajo accede a su bucket de Amazon S3 para descargar los datos de entrada y cargar las métricas del trabajo. Para controlar el acceso a tus datos, te recomendamos que utilices una nube privada virtual (VPC) con Amazon VPC. Para proteger aún más sus datos, puede configurarlos VPC para que no estén disponibles en Internet y, en su lugar, crear un punto final de VPC interfaz con el AWS PrivateLinkque establecer una conexión privada con sus datos. Para obtener más información sobre cómo Amazon VPC y Amazon se AWS PrivateLink integran con Amazon Bedrock, consulteProteja sus datos con Amazon VPC y AWS PrivateLink.

Realice los siguientes pasos para configurar y usar a como VPC datos de entrenamiento, validación y salida para sus trabajos de personalización de modelos.

Configurado VPC para proteger sus datos durante la personalización del modelo

Para configurar unVPC, siga los pasos que se indican enConfigure un VPC. Para protegerlo aún más, puede configurar un VPC terminal de S3 y utilizar IAM políticas basadas en los recursos para restringir el acceso al depósito de S3 que contiene los datos de personalización de su modelo siguiendo los pasos que se indican en. VPC (Ejemplo) Restrinja el acceso a los datos de Amazon S3 mediante VPC

Adjunte VPC permisos a una función de personalización del modelo

Cuando termine de configurar su rol de servicio de personalización de modelos VPC, asocie los siguientes permisos para que pueda acceder alVPC. Modifique esta política para permitir el acceso únicamente a los VPC recursos que su trabajo necesita. Sustituya el ${{subnet-ids}} y security-group-id con los valores de suVPC.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
            ],
            "Resource":[
               "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*"
            ],
            "Condition": {
               "StringEquals": { 
                   "aws:RequestTag/BedrockManaged": ["true"]
                },
                "ArnEquals": {
                   "aws:RequestTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"]
               }
            }
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
            ],
            "Resource":[
               "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
               "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}",
               "arn:aws:ec2:${{region}}:${{account-id}}:security-group/security-group-id"
            ]
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
            ],
            "Resource": "*",
            "Condition": {
               "ArnEquals": {
                   "ec2:Subnet": [
                       "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
                       "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}"
                   ],
                   "ec2:ResourceTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"]
               },
               "StringEquals": { 
                   "ec2:ResourceTag/BedrockManaged": "true"
               }
            }
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]    
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelCustomizationJobArn"
                    ]
                }
            }
        }
    ]
}

Añada la VPC configuración al enviar un trabajo de personalización de modelos

Tras configurar los roles VPC y permisos necesarios, tal y como se describe en las secciones anteriores, puede crear un trabajo de personalización del modelo que los utiliceVPC.

Al especificar las VPC subredes y los grupos de seguridad para un trabajo, Amazon Bedrock crea interfaces de red elásticas (ENIs) que se asocian a los grupos de seguridad de una de las subredes. ENIspermita que el trabajo de Amazon Bedrock se conecte a los recursos de suVPC. Para obtener información al respectoENIs, consulte Elastic Network Interfaces en la Guía del VPC usuario de Amazon. Etiquetas Amazon Bedrock ENIs que crea con BedrockModelCusomizationJobArn etiquetas BedrockManaged y.

Le recomendamos que proporcione al menos una subred en cada zona de disponibilidad.

Puede usar grupos de seguridad para establecer reglas que controlen el acceso de Amazon Bedrock a sus VPC recursos.

Puede configurarlos VPC para usarlos en la consola o a través delAPI. Seleccione la pestaña correspondiente al método que prefiera y siga los pasos:

Console

Para la consola Amazon Bedrock, debe especificar VPC las subredes y los grupos de seguridad en la sección de VPCconfiguración opcional al crear el trabajo de personalización del modelo. Para obtener más información sobre la configuración de los trabajos, consulte. Enviar un trabajo de personalización de modelos

nota

En el caso de un trabajo que incluye la VPC configuración, la consola no puede crear automáticamente un rol de servicio para usted. Siga las instrucciones Crear un rol de servicio para la personalización del modelo que aparecen en para crear un rol personalizado.

API

Al enviar una CreateModelCustomizationJobsolicitud, puede incluir un VpcConfig parámetro de solicitud para especificar las VPC subredes y los grupos de seguridad que se van a utilizar, como en el siguiente ejemplo.

"vpcConfig": { 
    "securityGroupIds": [
        "${{sg-0123456789abcdef0}}"
    ],
    "subnets": [
        "${{subnet-0123456789abcdef0}}",
        "${{subnet-0123456789abcdef1}}",
        "${{subnet-0123456789abcdef2}}"
    ]
}