[Facultatif] Protégez vos tâches de personnalisation de modèles à l'aide d'un VPC - Amazon Bedrock
Configuration VPC pour protéger vos données lors de la personnalisation du modèleAssocier VPC des autorisations à un rôle de personnalisation du modèleAjoutez la VPC configuration lors de la soumission d'une tâche de personnalisation du modèle

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

[Facultatif] Protégez vos tâches de personnalisation de modèles à l'aide d'un VPC

Lorsque vous exécutez une tâche de personnalisation de modèle, celle-ci accède à votre compartiment Amazon S3 pour télécharger les données d’entrée et pour charger les métriques de la tâche. Pour contrôler l'accès à vos données, nous vous recommandons d'utiliser un cloud privé virtuel (VPC) avec Amazon VPC. Vous pouvez protéger davantage vos données en les configurant de VPC manière à ce qu'elles ne soient pas disponibles sur Internet et en créant plutôt un point de terminaison d'VPCinterface AWS PrivateLinkpour établir une connexion privée à vos données. Pour plus d'informations sur la manière dont Amazon VPC AWS PrivateLink s'intègre à Amazon Bedrock, consultezProtégez vos données à l'aide d'Amazon VPC et AWS PrivateLink.

Procédez comme suit pour configurer et utiliser un VPC pour les données d'entraînement, de validation et de sortie pour les tâches de personnalisation de votre modèle.

Configuration VPC pour protéger vos données lors de la personnalisation du modèle

Pour configurer unVPC, suivez les étapes décrites dansConfigurez un VPC. Vous pouvez renforcer la sécurité VPC en configurant un point de VPC terminaison S3 et en utilisant des IAM politiques basées sur les ressources pour restreindre l'accès au compartiment S3 contenant les données de personnalisation de votre modèle en suivant les étapes décrites dans. (Exemple) Limitez l'accès aux données de votre Amazon S3 à l'aide de VPC

Associer VPC des autorisations à un rôle de personnalisation du modèle

Une fois que vous avez terminé de configurer votreVPC, associez les autorisations suivantes à votre rôle de service de personnalisation des modèles pour lui permettre d'accéder auVPC. Modifiez cette politique pour n'autoriser l'accès qu'aux VPC ressources dont votre travail a besoin. Remplacez le ${{subnet-ids}} and security-group-id avec les valeurs de votreVPC.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
            ],
            "Resource":[
               "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*"
            ],
            "Condition": {
               "StringEquals": { 
                   "aws:RequestTag/BedrockManaged": ["true"]
                },
                "ArnEquals": {
                   "aws:RequestTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"]
               }
            }
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
            ],
            "Resource":[
               "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
               "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}",
               "arn:aws:ec2:${{region}}:${{account-id}}:security-group/security-group-id"
            ]
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
            ],
            "Resource": "*",
            "Condition": {
               "ArnEquals": {
                   "ec2:Subnet": [
                       "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
                       "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}"
                   ],
                   "ec2:ResourceTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"]
               },
               "StringEquals": { 
                   "ec2:ResourceTag/BedrockManaged": "true"
               }
            }
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]    
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelCustomizationJobArn"
                    ]
                }
            }
        }
    ]
}

Ajoutez la VPC configuration lors de la soumission d'une tâche de personnalisation du modèle

Après avoir configuré les rôles VPC et autorisations requis, comme décrit dans les sections précédentes, vous pouvez créer une tâche de personnalisation du modèle qui l'utiliseVPC.

Lorsque vous spécifiez les VPC sous-réseaux et les groupes de sécurité pour une tâche, Amazon Bedrock crée des interfaces réseau élastiques (ENIs) associées à vos groupes de sécurité dans l'un des sous-réseaux. ENIsautorisez le job Amazon Bedrock à se connecter aux ressources de votreVPC. Pour en savoir plusENIs, consultez la section Elastic Network Interfaces dans le guide de VPC l'utilisateur Amazon. Tags Amazon Bedrock avec ENIs lesquels il crée BedrockManaged et BedrockModelCusomizationJobArn étiquette.

Nous vous recommandons de choisir au moins un sous-réseau dans chaque zone de disponibilité.

Vous pouvez utiliser des groupes de sécurité pour établir des règles permettant de contrôler l'accès d'Amazon Bedrock à vos VPC ressources.

Vous pouvez configurer le VPC pour l'utiliser dans la console ou via leAPI. Sélectionnez l'onglet correspondant à la méthode de votre choix et suivez les étapes suivantes :

Console

Pour la console Amazon Bedrock, vous spécifiez les VPC sous-réseaux et les groupes de sécurité dans la section des VPCparamètres facultatifs lorsque vous créez la tâche de personnalisation du modèle. Pour plus d'informations sur la configuration des tâches, consultezSoumettre une tâche de personnalisation du modèle.

Note

Pour une tâche qui inclut la VPC configuration, la console ne peut pas créer automatiquement un rôle de service pour vous. Suivez les instructions de l'adresse Création d'un rôle de service pour la personnalisation du modèle pour créer un rôle personnalisé.

API

Lorsque vous soumettez une CreateModelCustomizationJobdemande, vous pouvez inclure un VpcConfig paramètre de demande pour spécifier les VPC sous-réseaux et les groupes de sécurité à utiliser, comme dans l'exemple suivant.

"vpcConfig": { 
    "securityGroupIds": [
        "${{sg-0123456789abcdef0}}"
    ],
    "subnets": [
        "${{subnet-0123456789abcdef0}}",
        "${{subnet-0123456789abcdef1}}",
        "${{subnet-0123456789abcdef2}}"
    ]
}