[Facultatif] Protégez vos tâches de personnalisation de modèles à l'aide d'un VPC - Amazon Bedrock
Configurez un VPC pour protéger vos données lors de la personnalisation du modèleAssocier des autorisations VPC à un rôle de personnalisation du modèleAjoutez la configuration VPC lors de la soumission d'une tâche de personnalisation de modèle

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

[Facultatif] Protégez vos tâches de personnalisation de modèles à l'aide d'un VPC

Lorsque vous exécutez une tâche de personnalisation de modèle, celle-ci accède à votre compartiment Amazon S3 pour télécharger les données d’entrée et pour charger les métriques de la tâche. Pour contrôler l'accès à vos données, nous vous recommandons d'utiliser un cloud privé virtuel (VPC) avec Amazon VPC. Vous pouvez mieux protéger vos données en configurant votre VPC de manière à ce qu'elles ne soient pas disponibles sur Internet et en créant plutôt un point de terminaison d'interface VPC AWS PrivateLinkpour établir une connexion privée à vos données. Pour plus d'informations sur la manière dont Amazon VPC AWS PrivateLink s'intègre à Amazon Bedrock, consultez. Protégez vos données à l'aide d'Amazon VPC et AWS PrivateLink

Procédez comme suit pour configurer et utiliser un VPC pour les données d'entraînement, de validation et de sortie pour les tâches de personnalisation de votre modèle.

Configurez un VPC pour protéger vos données lors de la personnalisation du modèle

Pour configurer un VPC, suivez les étapes décrites dans. Configurez un VPC Vous pouvez renforcer la sécurité de votre VPC en configurant un point de terminaison VPC S3 et en utilisant des politiques IAM basées sur les ressources pour restreindre l'accès au compartiment S3 contenant les données de personnalisation de votre modèle en suivant les étapes décrites dans. (Exemple) Limitez l'accès aux données de votre Amazon S3 à l'aide d'un VPC

Associer des autorisations VPC à un rôle de personnalisation du modèle

Une fois que vous avez terminé de configurer votre VPC, associez les autorisations suivantes à votre rôle de service de personnalisation des modèles pour lui permettre d'accéder au VPC. Modifiez cette politique pour autoriser uniquement l'accès aux ressources VPC dont votre travail a besoin. Remplacez le ${{subnet-ids}} et security-group-id par les valeurs de votre VPC.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
            ],
            "Resource":[
               "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*"
            ],
            "Condition": {
               "StringEquals": { 
                   "aws:RequestTag/BedrockManaged": ["true"]
                },
                "ArnEquals": {
                   "aws:RequestTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"]
               }
            }
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
            ],
            "Resource":[
               "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
               "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}",
               "arn:aws:ec2:${{region}}:${{account-id}}:security-group/security-group-id"
            ]
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
            ],
            "Resource": "*",
            "Condition": {
               "ArnEquals": {
                   "ec2:Subnet": [
                       "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
                       "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}"
                   ],
                   "ec2:ResourceTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"]
               },
               "StringEquals": { 
                   "ec2:ResourceTag/BedrockManaged": "true"
               }
            }
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]    
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelCustomizationJobArn"
                    ]
                }
            }
        }
    ]
}

Ajoutez la configuration VPC lors de la soumission d'une tâche de personnalisation de modèle

Après avoir configuré le VPC ainsi que les rôles et autorisations requis comme décrit dans les sections précédentes, vous pouvez créer une tâche de personnalisation de modèle qui utilise ce VPC.

Lorsque vous spécifiez les sous-réseaux VPC et les groupes de sécurité pour une tâche, Amazon Bedrock crée des interfaces réseau élastiques (ENIs) associées à vos groupes de sécurité dans l'un des sous-réseaux. ENIs autorisez la tâche Amazon Bedrock à se connecter aux ressources de votre VPC. Pour plus d'informations ENIs, consultez la section Elastic Network Interfaces dans le guide de l'utilisateur Amazon VPC. Tags Amazon Bedrock avec ENIs lesquels il crée BedrockManaged et BedrockModelCusomizationJobArn étiquette.

Nous vous recommandons de choisir au moins un sous-réseau dans chaque zone de disponibilité.

Vous pouvez utiliser les groupes de sécurité pour établir des règles permettant de contrôler l’accès d’Amazon Bedrock aux ressources VPC.

Vous pouvez configurer le VPC pour qu'il soit utilisé dans la console ou via l'API. Choisissez l'onglet correspondant à votre méthode préférée, puis suivez les étapes suivantes :

Console

Pour la console Amazon Bedrock, vous spécifiez les sous-réseaux et les groupes de sécurité du VPC dans la section facultative Paramètres de VPC lorsque vous créez la tâche de personnalisation de modèle. Pour plus d'informations sur la configuration des tâches, consultezSoumettre une tâche de personnalisation du modèle.

Note

Pour une tâche qui inclut la configuration d'un VPC, la console ne peut pas créer automatiquement un rôle de service pour vous. Suivez les instructions de l'adresse Création d'un rôle de service pour la personnalisation du modèle pour créer un rôle personnalisé.

API

Lorsque vous soumettez une CreateModelCustomizationJobdemande, vous pouvez inclure un VpcConfig paramètre de demande pour spécifier les sous-réseaux VPC et les groupes de sécurité à utiliser, comme dans l'exemple suivant.

"vpcConfig": { 
    "securityGroupIds": [
        "${{sg-0123456789abcdef0}}"
    ],
    "subnets": [
        "${{subnet-0123456789abcdef0}}",
        "${{subnet-0123456789abcdef1}}",
        "${{subnet-0123456789abcdef2}}"
    ]
}