Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Lindungi data Anda menggunakan Amazon VPC dan AWS PrivateLink
Untuk mengontrol akses ke data Anda, kami sarankan Anda menggunakan virtual private cloud (VPC) dengan Amazon [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html). Menggunakan VPC melindungi data Anda dan memungkinkan Anda memantau semua lalu lintas jaringan masuk dan keluar dari wadah AWS pekerjaan dengan menggunakan [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) Flow Logs.
Anda dapat lebih melindungi data Anda dengan mengonfigurasi VPC Anda sehingga data Anda tidak tersedia melalui internet dan sebagai gantinya membuat titik akhir [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)antarmuka VPC untuk membuat koneksi pribadi ke data Anda.
Berikut ini mencantumkan beberapa fitur Amazon Bedrock di mana Anda dapat menggunakan VPC untuk melindungi data Anda:
+ Kustomisasi model - [(Opsional) Lindungi pekerjaan penyesuaian model Anda menggunakan VPC](custom-model-job-access-security.md#vpc-model-customization)
+ Inferensi Batch — [Lindungi pekerjaan inferensi batch menggunakan VPC](batch-vpc.md)
+ Basis Pengetahuan Amazon Bedrock - [Akses Amazon OpenSearch Tanpa Server menggunakan titik akhir antarmuka (](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html))AWS PrivateLink
## Menyiapkan VPC
[Anda dapat menggunakan [VPC default atau membuat VPC](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html) baru dengan mengikuti panduan di [Memulai Amazon VPC dan Buat VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html).](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)
Saat membuat VPC, sebaiknya gunakan setelan DNS default untuk tabel rute titik akhir, sehingga Amazon S3 standar URLs (misalnya,) diselesaikan. `http://s3-aws-region.amazonaws.com/training-bucket`
Topik berikut menunjukkan cara mengatur titik akhir VPC dengan bantuan AWS PrivateLink dan contoh kasus penggunaan untuk menggunakan VPC untuk melindungi akses ke file S3 Anda.
**Topics**
+ [Menyiapkan VPC](#create-vpc)
+ [Gunakan antarmuka VPC endpoint (AWS PrivateLink) untuk membuat koneksi pribadi antara VPC dan Amazon Bedrock](vpc-interface-endpoints.md)
+ [(Contoh) Batasi akses data ke data Amazon S3 Anda menggunakan VPC](vpc-s3.md)
# Gunakan antarmuka VPC endpoint (AWS PrivateLink) untuk membuat koneksi pribadi antara VPC dan Amazon Bedrock
Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara VPC Anda dan Amazon Bedrock. Anda dapat mengakses Amazon Bedrock seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk mengakses Amazon Bedrock.
Anda membuat koneksi pribadi ini dengan membuat *titik akhir antarmuka*, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk Amazon Bedrock.
Untuk informasi selengkapnya, lihat [Akses Layanan AWS melalui AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) di *AWS PrivateLink Panduan*.
## Pertimbangan untuk titik akhir Amazon Bedrock VPC
*Sebelum Anda menyiapkan titik akhir antarmuka untuk Amazon Bedrock, tinjau [Pertimbangan dalam Panduan.](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)AWS PrivateLink *
Amazon Bedrock mendukung melakukan panggilan API berikut melalui titik akhir VPC.
****
| Kategori | Sufiks titik akhir |
| --- | --- |
| [Tindakan API Pesawat Kontrol Batuan Dasar Amazon](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock.html) | bedrock |
| [Tindakan Amazon Bedrock Runtime API](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html) | bedrock-runtime |
| Tindakan Amazon Bedrock Mantle API | bedrock-mantle |
| [Tindakan API waktu pembuatan Amazon Bedrock Agents](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock.html) | bedrock-agent |
| [Tindakan API Runtime Agen Batuan Dasar Amazon](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock_Runtime.html) | bedrock-agent-runtime |
**Zona Ketersediaan**
Titik akhir Amazon Bedrock dan Amazon Bedrock Agents tersedia di beberapa Availability Zone.
## Buat titik akhir antarmuka untuk Amazon Bedrock
Anda dapat membuat titik akhir antarmuka untuk Amazon Bedrock menggunakan konsol VPC Amazon atau (). AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat [Membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) di *AWS PrivateLink Panduan*.
Buat titik akhir antarmuka untuk Amazon Bedrock menggunakan salah satu nama layanan berikut:
+ `com.amazonaws.region.bedrock`
+ `com.amazonaws.region.bedrock-runtime`
+ `com.amazonaws.region.bedrock-mantle`
+ `com.amazonaws.region.bedrock-agent`
+ `com.amazonaws.region.bedrock-agent-runtime`
Setelah Anda membuat titik akhir, Anda memiliki opsi untuk mengaktifkan nama host DNS pribadi. Aktifkan pengaturan ini dengan memilih Aktifkan Nama DNS privat di konsol VPC saat Anda membuat VPC endpoint.
Jika Anda mengaktifkan DNS pribadi untuk titik akhir antarmuka, Anda dapat membuat permintaan API ke Amazon Bedrock menggunakan nama DNS Regional defaultnya. Contoh berikut menunjukkan format nama DNS Regional default.
+ `bedrock.region.amazonaws.com`
+ `bedrock-runtime.region.amazonaws.com`
+ `bedrock-mantle.region.api.aws`
+ `bedrock-agent.region.amazonaws.com`
+ `bedrock-agent-runtime.region.amazonaws.com`
## Buat kebijakan titik akhir untuk titik akhir antarmuka Anda
Kebijakan endpoint adalah sumber daya IAM yang dapat Anda lampirkan ke titik akhir antarmuka. Kebijakan endpoint default memungkinkan akses penuh ke Amazon Bedrock melalui titik akhir antarmuka. Untuk mengontrol akses yang diizinkan ke Amazon Bedrock dari VPC Anda, lampirkan kebijakan titik akhir kustom ke titik akhir antarmuka.
kebijakan titik akhir mencantumkan informasi berikut:
+ Prinsipal yang dapat melakukan tindakan (Akun AWS, pengguna IAM, dan peran IAM).
+ Tindakan yang dapat dilakukan.
+ Sumber daya untuk melakukan tindakan.
Untuk informasi selengkapnya, lihat [Mengontrol akses ke layanan menggunakan kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) di *Panduan AWS PrivateLink *.
**Contoh: Kebijakan titik akhir VPC untuk tindakan Amazon Bedrock**
Berikut ini adalah contoh kebijakan endpoint kustom. Saat Anda melampirkan kebijakan berbasis sumber daya ini ke titik akhir antarmuka Anda, kebijakan tersebut akan memberikan akses ke tindakan Amazon Bedrock yang terdaftar untuk semua prinsipal di semua sumber daya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource":"*"
}
]
}
```
------
**Contoh: Kebijakan titik akhir VPC untuk tindakan Amazon Bedrock Mantle**
Berikut ini adalah contoh kebijakan endpoint kustom. Saat Anda melampirkan kebijakan berbasis sumber daya ini ke titik akhir antarmuka Anda, kebijakan ini akan memberikan akses ke tindakan Amazon Bedrock Mantle yang terdaftar untuk semua prinsipal di semua sumber daya.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock-mantle:CreateInference"
],
"Resource":"*"
}
]
}
```
# (Contoh) Batasi akses data ke data Amazon S3 Anda menggunakan VPC
Anda dapat menggunakan VPC untuk membatasi akses ke data di bucket Amazon S3 Anda. Untuk keamanan lebih lanjut, Anda dapat mengonfigurasi VPC Anda tanpa akses internet dan membuat titik akhir untuknya. AWS PrivateLink Anda juga dapat membatasi akses dengan melampirkan kebijakan berbasis sumber daya ke titik akhir VPC atau ke bucket S3.
**Topics**
+ [Buat Endpoint VPC Amazon S3](#vpc-s3-create)
+ [(Opsional) Gunakan kebijakan IAM untuk membatasi akses ke file S3 Anda](#vpc-policy-rbp)
## Buat Endpoint VPC Amazon S3
Jika Anda mengonfigurasi VPC Anda tanpa akses internet, Anda perlu membuat titik akhir [VPC Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html) untuk memungkinkan pekerjaan penyesuaian model Anda mengakses bucket S3 yang menyimpan data pelatihan dan validasi Anda dan yang akan menyimpan artefak model.
Buat titik akhir VPC S3 dengan mengikuti langkah-langkah [di Buat titik akhir gateway untuk](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3) Amazon S3.
**catatan**
Jika Anda tidak menggunakan pengaturan DNS default untuk VPC Anda, Anda perlu memastikan bahwa URLs lokasi data dalam pekerjaan pelatihan Anda diselesaikan dengan mengonfigurasi tabel rute titik akhir. Untuk informasi tentang tabel rute titik akhir VPC, lihat [Perutean](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) untuk titik akhir Gateway.
## (Opsional) Gunakan kebijakan IAM untuk membatasi akses ke file S3 Anda
Anda dapat menggunakan [kebijakan berbasis sumber daya untuk mengontrol akses ke file](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) S3 Anda dengan lebih ketat. Anda dapat menggunakan kombinasi apa pun dari jenis kebijakan berbasis sumber daya berikut.
+ **Kebijakan titik akhir** — Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC Anda untuk membatasi akses melalui titik akhir VPC. Kebijakan endpoint default memungkinkan akses penuh ke Amazon S3 untuk pengguna atau layanan apa pun di VPC Anda. Saat membuat atau setelah membuat titik akhir, Anda dapat melampirkan kebijakan berbasis sumber daya secara opsional ke titik akhir untuk menambahkan batasan, seperti hanya mengizinkan titik akhir mengakses bucket tertentu atau hanya mengizinkan peran IAM tertentu untuk mengakses titik akhir. Sebagai contoh, lihat [Mengedit kebijakan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#edit-vpc-endpoint-policy-s3).
Berikut ini adalah contoh kebijakan yang dapat Anda lampirkan ke titik akhir VPC Anda untuk hanya mengizinkannya mengakses bucket yang Anda tentukan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToTrainingBucket",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
]
}
]
}
```
------
+ **Kebijakan bucket** — Anda dapat melampirkan kebijakan bucket ke bucket S3 untuk membatasi akses ke bucket tersebut. Untuk membuat kebijakan bucket, ikuti langkah-langkah di [Menggunakan kebijakan bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html). Untuk membatasi akses ke lalu lintas yang berasal dari VPC Anda, Anda dapat menggunakan tombol kondisi untuk menentukan VPC itu sendiri, titik akhir VPC, atau alamat IP VPC. [Anda dapat menggunakan kunci kondisi [AWS:sourceVPC, AWS:sourceVPCE](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc)[, atau aws](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce):. VpcSourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpcsourceip)
Berikut ini adalah contoh kebijakan yang dapat Anda lampirkan ke bucket S3 untuk menolak semua lalu lintas ke bucket kecuali berasal dari VPC Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToOutputBucket",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:sourceVpc": "vpc-11223344556677889"
}
}
}
]
}
```
------
Untuk contoh selengkapnya, lihat [Mengontrol akses menggunakan kebijakan bucket](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#bucket-policies-s3).