Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Proteggi i lavori di inferenza in batch utilizzando un VPC
Quando esegui un processo di inferenza in batch, il processo accede al tuo bucket Amazon S3 per scaricare i dati di input e scrivere i dati di output. Per controllare l'accesso ai tuoi dati, ti consigliamo di utilizzare un cloud privato virtuale (VPC) con Amazon VPC. Puoi proteggere ulteriormente i tuoi dati configurandoli VPC in modo che non siano disponibili su Internet e creando invece un'VPCinterfaccia endpoint con AWS PrivateLinkcui stabilire una connessione privata ai tuoi dati. Per ulteriori informazioni su come Amazon VPC si AWS PrivateLink integra con Amazon Bedrock, consultaProteggi i tuoi dati con Amazon VPC e AWS PrivateLink.
Esegui i seguenti passaggi per configurare e utilizzare a VPC per i prompt di input e le risposte del modello di output per i processi di inferenza in batch.
Argomenti
Configurato VPC per proteggere i dati durante l'inferenza in batch
Per configurare unVPC, segui i passaggi indicati inConfigura un VPC. Puoi proteggere ulteriormente il tuo dispositivo VPC configurando un VPC endpoint S3 e utilizzando IAM policy basate sulle risorse per limitare l'accesso al bucket S3 contenente i dati di inferenza in batch seguendo la procedura riportata qui. (Esempio) Limita l'accesso ai dati di Amazon S3 utilizzando VPC
VPCAssocia le autorizzazioni a un ruolo di inferenza in batch
Dopo aver completato la configurazione del tuoVPC, assegna le seguenti autorizzazioni al tuo ruolo di servizio di inferenza in batch per consentirgli di accedere a. VPC Modifica questo criterio per consentire l'accesso solo alle VPC risorse di cui il tuo lavoro ha bisogno. Sostituisci il subnet-ids
e security-group-id
con i valori del tuoVPC.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "1", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": [ "*" ] }, { "Sid": "2", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:
${{region}}
:${{account-id}}
:network-interface/*", "arn:aws:ec2:${{region}}
:${{account-id}}
:subnet/${{subnet-id}}
", "arn:aws:ec2:${{region}}
:${{account-id}}
:security-group/${{security-group-id}}
" ], "Condition": { "StringEquals": { "aws:RequestTag/BedrockManaged": ["true"] }, "ArnEquals": { "aws:RequestTag/BedrockModelInvocationJobArn": ["arn:aws:bedrock:${{region}}
:${{account-id}}
:model-invocation-job/*"] } } }, { "Sid": "3", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "ec2:Subnet": [ "arn:aws:ec2:${{region}}
:${{account-id}}
:subnet/${{subnet-id}}
" ] }, "ArnEquals": { "ec2:ResourceTag/BedrockModelInvocationJobArn": [ "arn:aws:bedrock:${{region}}
:${{account-id}}
:model-invocation-job/*" ] } } }, { "Sid": "4", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:${{region}}
:${{account-id}}
:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": [ "CreateNetworkInterface" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "BedrockManaged", "BedrockModelInvocationJobArn" ] } } } ] }
Aggiungi la VPC configurazione quando invii un lavoro di inferenza in batch
Dopo aver configurato i ruoli VPC e le autorizzazioni richiesti come descritto nelle sezioni precedenti, è possibile creare un processo di inferenza in batch che lo utilizzi. VPC
Nota
Attualmente, quando si crea un processo di inferenza in batch, è possibile utilizzare solo un VPC processo tramite. API
Quando specifichi le VPC sottoreti e i gruppi di sicurezza per un job, Amazon Bedrock crea interfacce di rete elastiche (ENIs) associate ai tuoi gruppi di sicurezza in una delle sottoreti. ENIsconsenti al job Amazon Bedrock di connettersi alle risorse del tuoVPC. Per informazioni suENIs, consulta Elastic Network Interfaces nella Amazon VPC User Guide. Tag Amazon Bedrock con ENIs cui crea BedrockManaged
e BedrockModelInvocationJobArn
tag.
Si consiglia di fornire almeno una sottorete in ogni zona di disponibilità.
Puoi utilizzare i gruppi di sicurezza per stabilire regole per controllare l'accesso di Amazon Bedrock alle tue VPC risorse.
Puoi VPC configurarne l'utilizzo nella console o tramite. API Seleziona la scheda corrispondente al metodo che preferisci e segui i passaggi: