

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Protection de vos données à l’aide d’Amazon VPC et AWS PrivateLink
<a name="usingVPC"></a>

Pour contrôler l’accès à vos données, nous vous recommandons d’utiliser un cloud privé virtuel (VPC) avec [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html). L’utilisation d’un VPC protège vos données et vous permet de contrôler tout le trafic réseau entrant et sortant de vos conteneurs de tâches AWS à l’aide des [journaux de flux de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html).

Vous pouvez mieux protéger vos données en configurant votre VPC de manière à ce qu’elles ne soient pas disponibles sur Internet et en créant plutôt un point de terminaison d’interface VPC avec [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) pour établir une connexion privée à vos données.

Voici une liste de certaines fonctionnalités d’Amazon Bedrock dans lesquelles vous pouvez utiliser le VPC pour protéger vos données :
+ Personnalisation de modèles : [(Facultatif) Protection de vos tâches de personnalisation de modèles à l’aide d’un VPC](custom-model-job-access-security.md#vpc-model-customization)
+ Inférence par lots : [Protection des tâches d’inférence par lots à l’aide d’un VPC](batch-vpc.md)
+ Bases de connaissances Amazon Bedrock : [accéder à Amazon OpenSearch sans serveur à l’aide d’un point de terminaison d’interface (AWS PrivateLink)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html)

## Configurez un VPC
<a name="create-vpc"></a>

Vous pouvez utiliser un [VPC par défaut](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html) ou en créer un nouveau en suivant les instructions des sections [Commencer avec Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html) et [Créer un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html).

Lorsque vous créez votre VPC, nous vous recommandons d’utiliser les paramètres DNS par défaut pour votre table de routage de point de terminaison, afin que les URL Amazon S3 standard (par exemple, `http://s3-aws-region.amazonaws.com/training-bucket`) soient résolues.

Les rubriques suivantes montrent comment configurer un point de terminaison de VPC à l’aide de AWS PrivateLink et un exemple de cas d’utilisation d’un VPC pour protéger l’accès à vos fichiers S3.

**Topics**
+ [Configurez un VPC](#create-vpc)
+ [Utilisation des points de terminaison d’un VPC (AWS PrivateLink) pour créer une connexion privée entre votre VPC et Amazon Bedrock](vpc-interface-endpoints.md)
+ [(Exemple) Restriction de l’accès à vos données Amazon S3 à l’aide d’un VPC](vpc-s3.md)

# Utilisation des points de terminaison d’un VPC (AWS PrivateLink) pour créer une connexion privée entre votre VPC et Amazon Bedrock
<a name="vpc-interface-endpoints"></a>

Vous pouvez l'utiliser AWS PrivateLink pour créer une connexion privée entre votre VPC et Amazon Bedrock. Vous pouvez accéder à Amazon Bedrock comme s'il se trouvait dans votre VPC, sans passer par une passerelle Internet, un appareil NAT, une connexion VPN ou une connexion. Direct Connect Les instances de votre VPC ne nécessitent pas d’adresses IP publiques pour accéder à Amazon Bedrock.

Vous établissez cette connexion privée en créant un *point de terminaison d’interface* optimisé par AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison d’interface. Il s’agit d’interfaces réseau gérées par le demandeur qui servent de point d’entrée pour le trafic destiné à Amazon Bedrock.

Pour plus d'informations, consultez la section [Accès Services AWS par AWS PrivateLink le biais](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) du *AWS PrivateLink guide*.

## Considérations relatives aux points de terminaison d’un VPC Amazon Bedrock
<a name="vpc-endpoint-considerations"></a>

Avant de configurer un point de terminaison d’interface pour Amazon Bedrock, consultez [Considérations](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) dans le *Guide AWS PrivateLink *.

Amazon Bedrock prend en charge les appels d’API suivants via les points de terminaison de VPC.


****  

| Catégorie | Suffixe de point de terminaison | 
| --- | --- | 
| [Actions d’API de plan de contrôle Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock.html) | bedrock | 
| [Actions d’API d’exécution Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html) | bedrock-runtime | 
| Actions de l'API Amazon Bedrock Mantle | bedrock-mantle | 
| [Actions d’API de compilation des agents Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock.html) | bedrock-agent | 
| [Actions d’API d’exécution des agents Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock_Runtime.html) | bedrock-agent-runtime | 

**Zones de disponibilité**

Les points de terminaison Amazon Bedrock et des agents Amazon Bedrock sont disponibles dans toutes les zones de disponibilité.

## Création d’un point de terminaison d’interface pour Amazon Bedrock
<a name="vpc-endpoint-create"></a>

Vous pouvez créer un point de terminaison d'interface pour Amazon Bedrock à l'aide de la console Amazon VPC ou AWS Command Line Interface du AWS CLI(). Pour plus d’informations, consultez [Création d’un point de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) dans le *Guide AWS PrivateLink *.

Créez un point de terminaison d’interface pour Amazon Bedrock à l’aide d’un des noms de service suivants :
+ `com.amazonaws.region.bedrock`
+ `com.amazonaws.region.bedrock-runtime`
+ `com.amazonaws.region.bedrock-mantle`
+ `com.amazonaws.region.bedrock-agent`
+ `com.amazonaws.region.bedrock-agent-runtime`

Après avoir créé le point de terminaison, vous avez la possibilité d’activer un nom d’hôte DNS privé. Activez ce nom d’hôte en sélectionnant Activer le nom de DNS privé dans la console VPC lorsque vous créez le point de terminaison d’un VPC.

Si vous activez le DNS privé pour le point de terminaison d’interface, vous pouvez adresser des demandes d’API à Amazon Bedrock en utilisant son nom DNS par défaut pour la région. Les exemples suivants montrent le format des noms DNS régionaux par défaut.
+ `bedrock.region.amazonaws.com`
+ `bedrock-runtime.region.amazonaws.com`
+ `bedrock-mantle.region.api.aws`
+ `bedrock-agent.region.amazonaws.com`
+ `bedrock-agent-runtime.region.amazonaws.com`

## Création d’une politique de point de terminaison pour votre point de terminaison d’interface
<a name="vpc-endpoint-policy"></a>

Une politique de point de terminaison est une ressource IAM que vous pouvez attacher à votre point de terminaison d’interface. La politique de point de terminaison par défaut autorise un accès complet à Amazon Bedrock via le point de terminaison d’interface. Pour contrôler l’accès autorisé à Amazon Bedrock à partir de votre VPC, attachez une politique de point de terminaison personnalisée au point de terminaison d’interface.

Une politique de point de terminaison spécifie les informations suivantes :
+ Les principaux qui peuvent effectuer des actions (Comptes AWS, utilisateurs IAM et rôles IAM).
+ Les actions qui peuvent être effectuées.
+ La ressource sur laquelle les actions peuvent être effectuées.

Pour plus d’informations, consultez [Contrôle de l’accès aux services à l’aide de politiques de point de terminaison](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) dans le *Guide AWS PrivateLink *.

**Exemple : politique de point de terminaison d’un VPC pour les actions Amazon Bedrock**  
Voici un exemple de politique de point de terminaison personnalisée. Lorsque vous attachez cette politique basée sur les ressources à votre point de terminaison d’interface, elle accorde l’accès aux actions Amazon Bedrock répertoriées pour tous les principaux sur toutes les ressources.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "bedrock:InvokeModel",
            "bedrock:InvokeModelWithResponseStream"
         ],
         "Resource":"*"
      }
   ]
}
```

------

**Exemple : politique de point de terminaison VPC pour les actions Amazon Bedrock Mantle**  
Voici un exemple de politique de point de terminaison personnalisée. Lorsque vous associez cette politique basée sur les ressources à votre point de terminaison d'interface, elle donne accès aux actions Amazon Bedrock Mantle répertoriées à tous les principaux sur toutes les ressources.

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "bedrock-mantle:CreateInference"
         ],
         "Resource":"*"
      }
   ]
}
```

# (Exemple) Restriction de l’accès à vos données Amazon S3 à l’aide d’un VPC
<a name="vpc-s3"></a>

Vous pouvez utiliser un VPC pour restreindre l’accès aux données dans vos compartiments Amazon S3. Pour une sécurité accrue, vous pouvez configurer votre VPC sans accès à Internet et créer un point de terminaison pour celui-ci avec AWS PrivateLink. Vous pouvez également restreindre l’accès en attachant des politiques basées sur les ressources au point de terminaison d’un VPC ou au compartiment S3.

**Topics**
+ [Création d’un point de terminaison d’un VPC Amazon S3](#vpc-s3-create)
+ [(Facultatif) Utilisation des politiques IAM pour restreindre l’accès à vos fichiers S3](#vpc-policy-rbp)

## Création d’un point de terminaison d’un VPC Amazon S3
<a name="vpc-s3-create"></a>

Si vous configurez votre VPC sans accès à Internet, vous devez créer le [point de terminaison d’un VPC Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html) pour permettre aux tâches de personnalisation de votre modèle d’accéder aux compartiments S3 qui stockent vos données d’entraînement et de validation et qui stockeront les artefacts du modèle.

Créez le point de terminaison d’un VPC S3 en suivant les étapes de [Création d’un point de terminaison de passerelle pour Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3).

**Note**  
Si vous n'utilisez pas les paramètres DNS par défaut pour votre VPC, vous devez vous assurer que les URLs emplacements des données dans vos tâches de formation sont résolus en configurant les tables de routage des points de terminaison. Pour plus d’informations sur les tables de routage de point de terminaison de VPC, consultez [Routage des points de terminaison de passerelle](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing).

## (Facultatif) Utilisation des politiques IAM pour restreindre l’accès à vos fichiers S3
<a name="vpc-policy-rbp"></a>

Vous pouvez utiliser des [politiques basées sur les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) pour contrôler plus étroitement l’accès à vos fichiers S3. Vous pouvez utiliser toute combinaison des types de politiques basées sur les ressources suivants.
+ **Politiques de point de terminaison** : vous pouvez attacher des politiques de point de terminaison au point de terminaison d’un VPC afin de restreindre l’accès via ce dernier. Par défaut, la politique de point de terminaison autorise un accès complet à Amazon S3 pour n’importe quel utilisateur ou service au sein de votre VPC. Lors de la création ou après avoir créé le point de terminaison, vous pouvez éventuellement attacher une politique basée sur les ressources au point de terminaison pour ajouter des restrictions, par exemple autoriser uniquement le point de terminaison à accéder à un compartiment spécifique ou uniquement autoriser un rôle IAM spécifique à accéder au point de terminaison. Pour des exemples, consultez [Modifier la politique de point de terminaison de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#edit-vpc-endpoint-policy-s3).

  Voici un exemple de politique que vous pouvez attacher au point de terminaison d’un VPC pour lui permettre uniquement d’accéder au compartiment que vous spécifiez.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "RestrictAccessToTrainingBucket",
              "Effect": "Allow",
              "Principal": "*",
              "Action": [
                  "s3:GetObject",
                  "s3:ListBucket"
              ],
              "Resource": [
                  "arn:aws:s3:::bucket",
                  "arn:aws:s3:::bucket/*"
              ]
          }
      ]
  }
  ```

------
+ **Stratégies de compartiment** : vous pouvez attacher une stratégie de compartiment à un compartiment S3 pour restreindre l’accès à ce compartiment. Pour créer une stratégie de compartiment, suivez les étapes décrites dans [Utilisation des stratégies de compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html). Pour restreindre l’accès au trafic provenant de votre VPC, vous pouvez utiliser des clés de condition pour spécifier le VPC lui-même, le point de terminaison d’un VPC ou l’adresse IP du VPC. [Vous pouvez utiliser les clés de condition [AWS:SourceVPC](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc), [AWS:SourceVPCE](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce) ou aws :. VpcSourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpcsourceip)

  Voici un exemple de stratégie que vous pouvez attacher à un compartiment S3 pour refuser tout le trafic vers le compartiment, sauf s’il provient de votre VPC.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "RestrictAccessToOutputBucket",
              "Effect": "Deny",
              "Principal": "*",
              "Action": [
                  "s3:GetObject",
                  "s3:PutObject",
                  "s3:ListBucket"
              ],
              "Resource": [
                  "arn:aws:s3:::bucket",
                  "arn:aws:s3:::bucket/*"
              ],
              "Condition": {
                  "StringNotEquals": {
                      "aws:sourceVpc": "vpc-11223344556677889"
                  }
              }
          }
      ]
  }
  ```

------

  Pour plus d’exemples, consultez [Contrôle de l’accès à l’aide de stratégies de compartiment](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#bucket-policies-s3).