(Facultatif) Protégez les tâches d'importation de modèles personnalisés à l'aide d'un VPC - Amazon Bedrock
Configurez un VPCCréation d'un point de VPC terminaison Amazon S3(Facultatif) Utilisez IAM des politiques pour restreindre l'accès à vos fichiers S3Associez VPC des autorisations à un rôle d'importation de modèle personnalisé.Ajoutez la VPC configuration lors de la soumission d'une tâche d'importation de modèle

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

(Facultatif) Protégez les tâches d'importation de modèles personnalisés à l'aide d'un VPC

Lorsque vous exécutez une tâche d'importation de modèle personnalisé, la tâche accède à votre compartiment Amazon S3 pour télécharger les données d'entrée et les métriques de la tâche. Pour contrôler l'accès à vos données, nous vous recommandons d'utiliser un cloud privé virtuel (VPC) avec Amazon VPC. Vous pouvez protéger davantage vos données en les configurant de VPC manière à ce qu'elles ne soient pas disponibles sur Internet et en créant plutôt un point de terminaison d'VPCinterface AWS PrivateLinkpour établir une connexion privée à vos données. Pour plus d'informations sur la manière dont Amazon VPC AWS PrivateLink s'intègre à Amazon Bedrock, consultezProtégez vos données à l'aide d'Amazon VPC et AWS PrivateLink.

Procédez comme suit pour configurer et utiliser un VPC pour importer vos modèles personnalisés.

Configurez un VPC

Vous pouvez utiliser une valeur par défaut VPC pour les données d'importation de votre modèle ou en créer une nouvelle VPC en suivant les instructions des sections Get started with Amazon VPC and Create a VPC.

Lorsque vous créez votreVPC, nous vous recommandons d'utiliser les DNS paramètres par défaut de votre table de routage de point de terminaison, afin que la solution standard Amazon S3 URLs (par exemplehttp://s3-aws-region.amazonaws.com/model-bucket) soit résolue.

Création d'un point de VPC terminaison Amazon S3

Si vous configurez votre VPC appareil sans accès à Internet, vous devez créer un point de VPCterminaison Amazon S3 pour permettre à vos tâches d'importation de modèles d'accéder aux compartiments S3 qui stockent vos données de formation et de validation et qui stockeront les artefacts du modèle.

Créez le point de VPC terminaison S3 en suivant les étapes de la section Créer un point de terminaison de passerelle pour Amazon S3.

Note

Si vous n'utilisez pas les DNS paramètres par défaut pour votreVPC, vous devez vous assurer que les URLs emplacements des données dans vos tâches de formation sont résolus en configurant les tables de routage des points de terminaison. Pour plus d'informations sur les tables de routage des points de VPC terminaison, consultez la section Routage pour les points de terminaison Gateway.

(Facultatif) Utilisez IAM des politiques pour restreindre l'accès à vos fichiers S3

Vous pouvez utiliser des politiques basées sur les ressources pour contrôler plus étroitement l'accès à vos fichiers S3. Vous pouvez utiliser le type de politique basé sur les ressources suivant.

  • Politiques relatives aux terminaux : les politiques relatives aux terminaux limitent l'accès via les VPC terminaux. La politique de point de terminaison par défaut permet un accès complet à Amazon S3 pour tous les utilisateurs ou services de votre entrepriseVPC. Lors de la création ou après avoir créé le point de terminaison, vous pouvez éventuellement associer une politique basée sur les ressources au point de terminaison pour ajouter des restrictions, par exemple autoriser uniquement le point de terminaison à accéder à un compartiment spécifique ou uniquement autoriser un IAM rôle spécifique à accéder au point de terminaison. Pour des exemples, voir Modifier la politique du VPC point de terminaison.

    Voici un exemple de politique que vous pouvez associer à votre VPC point de terminaison pour lui permettre uniquement d'accéder au compartiment contenant les poids de votre modèle.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictAccessToModelWeightsBucket",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::model-weights-bucket",
                "arn:aws:s3:::model-weights-bucket/*"
            ]
        }
    ]
}

Associez VPC des autorisations à un rôle d'importation de modèle personnalisé.

Une fois que vous avez terminé de configurer votre terminal VPC et votre point de terminaison, vous devez associer les autorisations suivantes à votre IAMrôle d'importation de modèles. Modifiez cette politique pour n'autoriser l'accès qu'aux VPC ressources dont votre travail a besoin. Remplacez le subnet-ids et security-group-id par les valeurs de votreVPC.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
                    ],
            "Resource": "*"
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
            ],
            "Resource":[
               "arn:aws:ec2:region:account-id:network-interface/*"
            ],
            "Condition": {
               "StringEquals": { 
                   "aws:RequestTag/BedrockManaged": ["true"]
                },
                "ArnEquals": {
                   "aws:RequestTag/BedrockModelImportJobArn": ["arn:aws:bedrock:region:account-id:model-import-job/*"]
               }
            }
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
            ],
            "Resource":[
               "arn:aws:ec2:region:account-id:subnet/subnet-id",
               "arn:aws:ec2:region:account-id:subnet/subnet-id2",
               "arn:aws:ec2:region:account-id:security-group/security-group-id"
            ]
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
            ],
            "Resource": "*",
            "Condition": {
               "ArnEquals": {
                   "ec2:Subnet": [
                       "arn:aws:ec2:region:account-id:subnet/subnet-id",
                       "arn:aws:ec2:region:account-id:subnet/subnet-id2"
                   ],
                   "ec2:ResourceTag/BedrockModelImportJobArn": ["arn:aws:bedrock:region:account-id:model-import-job/*"]
               },
               "StringEquals": { 
                   "ec2:ResourceTag/BedrockManaged": "true"
               }
            }
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:region:account-id:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]    
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelImportJobArn"
                    ]
                }
         }
    ]
}

Ajoutez la VPC configuration lors de la soumission d'une tâche d'importation de modèle

Après avoir configuré les rôles VPC et autorisations requis, comme décrit dans les sections précédentes, vous pouvez créer un modèle de tâche d'importation qui l'utiliseVPC.

Lorsque vous spécifiez les VPC sous-réseaux et les groupes de sécurité pour une tâche, Amazon Bedrock crée des interfaces réseau élastiques (ENIs) associées à vos groupes de sécurité dans l'un des sous-réseaux. ENIsautorisez le job Amazon Bedrock à se connecter aux ressources de votreVPC. Pour en savoir plusENIs, consultez la section Elastic Network Interfaces dans le guide de VPC l'utilisateur Amazon. Tags Amazon Bedrock avec ENIs lesquels il crée BedrockManaged et BedrockModelImportJobArn étiquette.

Nous vous recommandons de choisir au moins un sous-réseau dans chaque zone de disponibilité.

Vous pouvez utiliser des groupes de sécurité pour établir des règles permettant de contrôler l'accès d'Amazon Bedrock à vos VPC ressources.

Vous pouvez configurer le VPC pour l'utiliser dans la console ou via leAPI. Choisissez l'onglet correspondant à votre méthode préférée, puis suivez les étapes suivantes :

Console

Pour la console Amazon Bedrock, vous spécifiez les VPC sous-réseaux et les groupes de sécurité dans la section des VPCparamètres facultatifs lorsque vous créez la tâche d'importation du modèle. Pour plus d'informations sur la configuration des tâches d'importation de modèles, consultezSoumettre une tâche d'importation de modèles.

API

Lorsque vous soumettez une CreateModelCustomizationJobdemande, vous pouvez inclure un VpcConfig paramètre de demande pour spécifier les VPC sous-réseaux et les groupes de sécurité à utiliser, comme dans l'exemple suivant.

"VpcConfig": { 
"SecurityGroupIds": [
    "sg-0123456789abcdef0"
    ],
    "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
     ]
 }