Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
[Opsional] Lindungi pekerjaan kustomisasi model Anda menggunakan VPC
Saat Anda menjalankan tugas penyesuaian model, pekerjaan tersebut akan mengakses bucket Amazon S3 Anda untuk mengunduh data input dan mengunggah metrik pekerjaan. Untuk mengontrol akses ke data Anda, kami sarankan Anda menggunakan cloud pribadi virtual (VPC) dengan Amazon VPC. Anda dapat lebih melindungi data Anda dengan mengonfigurasi data Anda VPC sehingga data Anda tidak tersedia melalui internet dan sebagai gantinya membuat titik akhir VPC antarmuka AWS PrivateLinkuntuk membuat koneksi pribadi ke data Anda. Untuk informasi selengkapnya tentang cara Amazon VPC dan AWS PrivateLink berintegrasi dengan Amazon Bedrock, lihatLindungi data Anda menggunakan Amazon VPC dan AWS PrivateLink.
Lakukan langkah-langkah berikut untuk mengonfigurasi dan menggunakan data pelatihan, validasi, dan keluaran untuk pekerjaan penyesuaian model Anda. VPC
Topik
Siapkan VPC untuk melindungi data Anda selama penyesuaian model
Untuk mengaturVPC, ikuti langkah-langkah diMengatur VPC. Anda dapat mengamankan lebih lanjut VPC dengan menyiapkan VPC titik akhir S3 dan menggunakan IAM kebijakan berbasis sumber daya untuk membatasi akses ke bucket S3 yang berisi data penyesuaian model Anda dengan mengikuti langkah-langkah di. (Contoh) Batasi akses data ke data Amazon S3 Anda menggunakan VPC
Lampirkan VPC izin ke peran kustomisasi model
Setelah Anda selesai menyiapkanVPC, lampirkan izin berikut ke peran layanan penyesuaian model Anda untuk memungkinkannya mengakses. VPC Ubah kebijakan ini untuk mengizinkan akses hanya ke VPC sumber daya yang dibutuhkan pekerjaan Anda. Ganti ${{subnet-ids}}
and security-group-id
dengan nilai-nilai dari AndaVPC.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", ], "Resource":[ "arn:aws:ec2:
${{region}}
:${{account-id}}
:network-interface/*" ], "Condition": { "StringEquals": { "aws:RequestTag/BedrockManaged": ["true"] }, "ArnEquals": { "aws:RequestTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}
:${{account-id}}
:model-customization-job/*"] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", ], "Resource":[ "arn:aws:ec2:${{region}}
:${{account-id}}
:subnet/${{subnet-id}}
", "arn:aws:ec2:${{region}}
:${{account-id}}
:subnet/${{subnet-id2}}
", "arn:aws:ec2:${{region}}
:${{account-id}}
:security-group/security-group-id
" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", ], "Resource": "*", "Condition": { "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:${{region}}
:${{account-id}}
:subnet/${{subnet-id}}
", "arn:aws:ec2:${{region}}
:${{account-id}}
:subnet/${{subnet-id2}}
" ], "ec2:ResourceTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}
:${{account-id}}
:model-customization-job/*"] }, "StringEquals": { "ec2:ResourceTag/BedrockManaged": "true" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:${{region}}
:${{account-id}}
:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": [ "CreateNetworkInterface" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "BedrockManaged", "BedrockModelCustomizationJobArn" ] } } } ] }
Tambahkan VPC konfigurasi saat mengirimkan pekerjaan penyesuaian model
Setelah mengonfigurasi peran VPC dan izin yang diperlukan seperti yang dijelaskan di bagian sebelumnya, Anda dapat membuat pekerjaan penyesuaian model yang menggunakan iniVPC.
Saat Anda menentukan VPC subnet dan grup keamanan untuk suatu pekerjaan, Amazon Bedrock membuat antarmuka jaringan elastis (ENIs) yang terkait dengan grup keamanan Anda di salah satu subnet. ENIsmemungkinkan pekerjaan Amazon Bedrock untuk terhubung ke sumber daya di AndaVPC. Untuk selengkapnyaENIs, lihat Antarmuka Jaringan Elastis di Panduan VPC Pengguna Amazon. Amazon Bedrock tag ENIs yang dibuat dengan BedrockManaged
dan BedrockModelCusomizationJobArn
tag.
Kami menyarankan Anda menyediakan setidaknya satu subnet di setiap Availability Zone.
Anda dapat menggunakan grup keamanan untuk menetapkan aturan untuk mengontrol akses Amazon Bedrock ke VPC sumber daya Anda.
Anda dapat mengonfigurasi VPC untuk digunakan di konsol atau melaluiAPI. Pilih tab yang sesuai dengan metode pilihan Anda dan ikuti langkah-langkahnya: