Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Protezione dei processi di inferenza in batch con un VPC
Quando viene eseguito, un processo di inferenza in batch, questo accede al bucket Amazon S3 per scaricare i dati di input e scrivere i dati di output. Per controllare l’accesso ai dati, consigliamo di creare un cloud privato virtuale (VPC) con [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html). Per proteggere ulteriormente i dati, configura il VPC in modo che non sia disponibile su Internet e crea invece un endpoint di interfaccia VPC con [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) per stabilire una connessione privata ai dati. Per ulteriori informazioni su come Amazon VPC si AWS PrivateLink integra con Amazon Bedrock, consulta. [Protezione dei dati con Amazon VPC e AWS PrivateLink](usingVPC.md)
Esegui la procedura sotto riportata per configurare e utilizzare un VPC per i prompt di input e le risposte del modello di output per i tuoi processi di inferenza in batch.
**Topics**
+ [Configurazione di VPC per proteggere i dati durante l’inferenza in batch](#batch-vpc-setup)
+ [Collegamento di autorizzazioni VPC a un ruolo di inferenza in batch](#batch-vpc-role)
+ [Aggiunta della configurazione VPC durante l’invio di un processo di inferenza in batch](#batch-vpc-config)
## Configurazione di VPC per proteggere i dati durante l’inferenza in batch
Per configurare un VPC, segui le fasi indicate in [Configurazione di un VPC](usingVPC.md#create-vpc). Per proteggere ulteriormente il VPC, configura un endpoint VPC S3 e utilizza policy IAM basate sulle risorse per limitare l’accesso al bucket S3 contenente i dati per l’inferenza in batch seguendo la procedura descritta in [(Esempio) Limitazione dell’accesso ai dati di Amazon S3 utilizzando VPC](vpc-s3.md).
## Collegamento di autorizzazioni VPC a un ruolo di inferenza in batch
Dopo aver completato la configurazione del VPC, collega le seguenti autorizzazioni al [ruolo di servizio di inferenza in batch](batch-iam-sr.md) per consentirgli di accedere al VPC. Modifica questa policy per consentire l’accesso solo alle risorse VPC necessarie per il processo. Sostituisci *subnet-ids* e *security-group-id* con i valori del tuo VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "2",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"arn:aws:ec2:us-east-1:123456789012:subnet/${{subnet-id}}",
"arn:aws:ec2:us-east-1:123456789012:security-group/${{security-group-id}}"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/BedrockManaged": [
"true"
]
},
"ArnEquals": {
"aws:RequestTag/BedrockModelInvocationJobArn": [
"arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
]
}
}
},
{
"Sid": "3",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"ec2:Subnet": [
"arn:aws:ec2:us-east-1:123456789012:subnet/${{subnet-id}}"
]
},
"ArnEquals": {
"ec2:ResourceTag/BedrockModelInvocationJobArn": [
"arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
]
}
}
},
{
"Sid": "4",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": [
"CreateNetworkInterface"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"BedrockManaged",
"BedrockModelInvocationJobArn"
]
}
}
}
]
}
```
------
## Aggiunta della configurazione VPC durante l’invio di un processo di inferenza in batch
Dopo aver configurato il VPC, nonché le autorizzazioni e i ruoli richiesti e descritti nelle sezioni precedenti, puoi creare un processo di inferenza in batch che utilizza questo VPC.
**Nota**
Attualmente, quando si crea un processo di inferenza in batch, è possibile utilizzare solo un VPC tramite l’API.
Quando specifichi le sottoreti VPC e i gruppi di sicurezza per un job, Amazon Bedrock crea *interfacce di rete elastiche* (ENIs) associate ai tuoi gruppi di sicurezza in una delle sottoreti. ENIs consenti al job Amazon Bedrock di connettersi alle risorse nel tuo VPC. Per informazioni su ENIs, consulta [Elastic Network Interfaces](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) nella *Amazon VPC* User Guide. Tag Amazon Bedrock con ENIs cui crea `BedrockManaged` e `BedrockModelInvocationJobArn` tag.
Si consiglia di fornire almeno una sottorete in ogni zona di disponibilità.
È possibile utilizzare i gruppi di sicurezza per stabilire delle regole per controllare l’accesso di Amazon Bedrock alle risorse VPC.
Quando invii una [CreateModelInvocationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelInvocationJob.html)richiesta, puoi includere un parametro `VpcConfig` come richiesta per specificare le sottoreti VPC e i gruppi di sicurezza da utilizzare, come nell'esempio seguente.
```
"vpcConfig": {
"securityGroupIds": [
"sg-0123456789abcdef0"
],
"subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
]
}
```