Proteggi i lavori di inferenza in batch utilizzando un VPC - Amazon Bedrock
Configurato VPC per proteggere i dati durante l'inferenza in batchVPCAssocia le autorizzazioni a un ruolo di inferenza in batchAggiungi la VPC configurazione quando invii un lavoro di inferenza in batch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Proteggi i lavori di inferenza in batch utilizzando un VPC

Quando esegui un processo di inferenza in batch, il processo accede al tuo bucket Amazon S3 per scaricare i dati di input e scrivere i dati di output. Per controllare l'accesso ai tuoi dati, ti consigliamo di utilizzare un cloud privato virtuale (VPC) con Amazon VPC. Puoi proteggere ulteriormente i tuoi dati configurandoli VPC in modo che non siano disponibili su Internet e creando invece un'VPCinterfaccia endpoint con AWS PrivateLinkcui stabilire una connessione privata ai tuoi dati. Per ulteriori informazioni su come Amazon VPC si AWS PrivateLink integra con Amazon Bedrock, consultaProteggi i tuoi dati con Amazon VPC e AWS PrivateLink.

Esegui i seguenti passaggi per configurare e utilizzare a VPC per i prompt di input e le risposte del modello di output per i processi di inferenza in batch.

Configurato VPC per proteggere i dati durante l'inferenza in batch

Per configurare unVPC, segui i passaggi indicati inConfigura un VPC. Puoi proteggere ulteriormente il tuo dispositivo VPC configurando un VPC endpoint S3 e utilizzando IAM policy basate sulle risorse per limitare l'accesso al bucket S3 contenente i dati di inferenza in batch seguendo la procedura riportata qui. (Esempio) Limita l'accesso ai dati di Amazon S3 utilizzando VPC

VPCAssocia le autorizzazioni a un ruolo di inferenza in batch

Dopo aver completato la configurazione del tuoVPC, assegna le seguenti autorizzazioni al tuo ruolo di servizio di inferenza in batch per consentirgli di accedere a. VPC Modifica questo criterio per consentire l'accesso solo alle VPC risorse di cui il tuo lavoro ha bisogno. Sostituisci il subnet-ids e security-group-id con i valori del tuoVPC.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
                "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
                "arn:aws:ec2:${{region}}:${{account-id}}:security-group/${{security-group-id}}"
            ],
            "Condition": {
               "StringEquals": { 
                   "aws:RequestTag/BedrockManaged": ["true"]
                },
                "ArnEquals": {
                   "aws:RequestTag/BedrockModelInvocationJobArn": 
                   ["arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"]
               }
            }
        },
        {
            "Sid": "3",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:Subnet": [
                        "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}"
                    ]
                },
                "ArnEquals": {
                    "ec2:ResourceTag/BedrockModelInvocationJobArn": [
                        "arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "4",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]    
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelInvocationJobArn"
                    ]
                }
             }
        }
    ]
}

Aggiungi la VPC configurazione quando invii un lavoro di inferenza in batch

Dopo aver configurato i ruoli VPC e le autorizzazioni richiesti come descritto nelle sezioni precedenti, è possibile creare un processo di inferenza in batch che lo utilizzi. VPC

Nota

Attualmente, quando si crea un processo di inferenza in batch, è possibile utilizzare solo un VPC processo tramite. API

Quando specifichi le VPC sottoreti e i gruppi di sicurezza per un job, Amazon Bedrock crea interfacce di rete elastiche (ENIs) associate ai tuoi gruppi di sicurezza in una delle sottoreti. ENIsconsenti al job Amazon Bedrock di connettersi alle risorse del tuoVPC. Per informazioni suENIs, consulta Elastic Network Interfaces nella Amazon VPC User Guide. Tag Amazon Bedrock con ENIs cui crea BedrockManaged e BedrockModelInvocationJobArn tag.

Si consiglia di fornire almeno una sottorete in ogni zona di disponibilità.

Puoi utilizzare i gruppi di sicurezza per stabilire regole per controllare l'accesso di Amazon Bedrock alle tue VPC risorse.

Puoi VPC configurarne l'utilizzo nella console o tramite. API Seleziona la scheda corrispondente al metodo che preferisci e segui i passaggi:

Console

Per la console Amazon Bedrock, specifichi le VPC sottoreti e i gruppi di sicurezza nella sezione VPCdelle impostazioni opzionali quando invii il processo di inferenza in batch.

Nota

Per un lavoro che include la VPC configurazione, la console non può creare automaticamente un ruolo di servizio per te. Segui le indicazioni riportate in Creare un ruolo di servizio per l'inferenza in batch per creare un ruolo personalizzato.

API

Quando invii una CreateModelInvocationJobrichiesta, puoi includere un parametro VpcConfig as a request per specificare le VPC sottoreti e i gruppi di sicurezza da utilizzare, come nell'esempio seguente.

"vpcConfig": { 
    "securityGroupIds": [
        "sg-0123456789abcdef0"
    ],
    "subnets": [
        "subnet-0123456789abcdef0",
        "subnet-0123456789abcdef1",
        "subnet-0123456789abcdef2"
    ]
}