Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Protezione dei dati con Amazon VPC e AWS PrivateLink
Per controllare l’accesso ai dati, consigliamo di creare un cloud privato virtuale (VPC) con [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html). L’utilizzo di un VPC consente di proteggere i dati e di monitorare tutto il traffico di rete in entrata e in uscita dai container del processo AWS utilizzando [Log di flusso VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html).
Per proteggere ulteriormente i dati, configura il VPC in modo che non sia disponibile su Internet e crea invece un endpoint di interfaccia VPC con [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) per stabilire una connessione privata ai dati.
Di seguito sono elencate alcune funzionalità di Amazon Bedrock in cui è possibile utilizzare VPC per proteggere i dati:
+ Personalizzazione del modello: [(Facoltativo) Protezione dei processi di personalizzazione del modello utilizzando un VPC](custom-model-job-access-security.md#vpc-model-customization)
+ Inferenza in batch: [Protezione dei processi di inferenza in batch con un VPC](batch-vpc.md)
+ Knowledge Base per Amazon Bedrock: [Accesso ad Amazon OpenSearch Serverless utilizzando un endpoint di interfaccia (AWS PrivateLink)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html)
## Configurazione di un VPC
Puoi utilizzare un [VPC predefinito](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html) o crearne uno nuovo seguendo le indicazioni riportate in [Introduzione ad Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html) e [Creazione di un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html).
Quando crei il VPC, si consigliamo di utilizzare le impostazioni DNS predefinite per la tabella di routing di endpoint, in modo che gli URL Amazon S3 standard (ad esempio `http://s3-aws-region.amazonaws.com/training-bucket`) vengano risolti.
I seguenti argomenti mostrano come configurare un endpoint VPC con l’aiuto di AWS PrivateLink e un caso d’uso di esempio per l’utilizzo di VPC per proteggere l’accesso ai file S3.
**Topics**
+ [Configurazione di un VPC](#create-vpc)
+ [Utilizzo di endpoint VPC dell’interfaccia (AWS PrivateLink) per creare una connessione privata tra VPC e Amazon Bedrock.](vpc-interface-endpoints.md)
+ [(Esempio) Limitazione dell’accesso ai dati di Amazon S3 utilizzando VPC](vpc-s3.md)
# Utilizzo di endpoint VPC dell’interfaccia (AWS PrivateLink) per creare una connessione privata tra VPC e Amazon Bedrock.
Puoi usarlo AWS PrivateLink per creare una connessione privata tra il tuo VPC e Amazon Bedrock. Puoi accedere ad Amazon Bedrock come se fosse nel tuo VPC, senza utilizzare un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect Le istanze nel tuo VPC non richiedono indirizzi IP pubblici per l'accesso ad Amazon Bedrock.
Stabilisci questa connessione privata creando un *endpoint di interfaccia* attivato da AWS PrivateLink. In ciascuna sottorete viene creata un'interfaccia di rete endpoint da abilitare per l'endpoint di interfaccia. Queste sono interfacce di rete gestite dal richiedente che fungono da punto di ingresso per il traffico destinato ad Amazon Bedrock.
*Per ulteriori informazioni, consulta [Access Servizi AWS through AWS PrivateLink nella Guida](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html).AWS PrivateLink *
## Considerazioni sugli endpoint VPC di Amazon Bedrock
Prima di configurare un endpoint VPC di interfaccia per Amazon Bedrock, consulta le [considerazioni](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) nella *Guida di AWS PrivateLink *.
Amazon Bedrock supporta l'esecuzione delle seguenti chiamate API tramite gli endpoint VPC.
****
| Categoria | Suffisso dell’endpoint |
| --- | --- |
| [Azioni API del piano di controllo (control-plane) Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock.html) | bedrock |
| [Azioni API di runtime Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html) | bedrock-runtime |
| Azioni dell'API Amazon Bedrock Mantle | bedrock-mantle |
| [Azioni API in fase di build per Agent per Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock.html) | bedrock-agent |
| [Azioni API di runtime per Agent per Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock_Runtime.html) | bedrock-agent-runtime |
**Zone di disponibilità**
Amazon Bedrock e gli endpoint di Agent per Amazon Bedrock sono disponibili in più zone di disponibilità.
## Creazione di un endpoint di interfaccia per Amazon Bedrock
Puoi creare un endpoint di interfaccia per Amazon Bedrock utilizzando la console Amazon VPC o (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta la sezione [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) nella *Guida per l'utente di AWS PrivateLink *.
Crea un endpoint di interfaccia per Amazon Bedrock utilizzando i seguenti nomi dei servizi:
+ `com.amazonaws.region.bedrock`
+ `com.amazonaws.region.bedrock-runtime`
+ `com.amazonaws.region.bedrock-mantle`
+ `com.amazonaws.region.bedrock-agent`
+ `com.amazonaws.region.bedrock-agent-runtime`
Dopo aver creato l’endpoint, puoi abilitare un nome host DNS privato. Abilita questo nome host selezionando Abilita nome DNS privato nella console VPC quando crei l'endpoint VPC.
Se abiliti il DNS privato per l'endpoint di interfaccia, puoi effettuare richieste API ad Amazon Bedrock utilizzando il nome DNS predefinito per la Regione. Gli esempi seguenti mostrano il formato dei nomi DNS regionali predefiniti.
+ `bedrock.region.amazonaws.com`
+ `bedrock-runtime.region.amazonaws.com`
+ `bedrock-mantle.region.api.aws`
+ `bedrock-agent.region.amazonaws.com`
+ `bedrock-agent-runtime.region.amazonaws.com`
## Creazione di una policy dell' endpoint per l'endpoint dell'interfaccia
Una policy dell'endpoint è una risorsa IAM che è possibile allegare all'endpoint dell'interfaccia. La policy di endpoint di default permette l'accesso completo ad Amazon Bedrock tramite l'endpoint dell'interfaccia. Per controllare l'accesso consentito ad Amazon Bedrock dal VPC, associa una policy di endpoint personalizzata all'endpoint di interfaccia.
Una policy di endpoint specifica le informazioni riportate di seguito:
+ I principali che possono eseguire azioni (Account AWS, utenti IAM e ruoli IAM).
+ Le azioni che possono essere eseguite.
+ Le risorse in cui è possibile eseguire le operazioni.
Per ulteriori informazioni, consulta la sezione [Controllo dell'accesso ai servizi con policy di endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella *Guida di AWS PrivateLink *.
**Esempio: policy di endpoint VPC per le azioni Amazon Bedrock**
Di seguito è riportato l'esempio di una policy dell'endpoint personalizzata. Se questa policy basata sulle risorse è collegata a un endpoint dell’interfaccia, concede l’accesso alle azioni Amazon Bedrock elencate per tutti i principali su tutte le risorse.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource":"*"
}
]
}
```
------
**Esempio: policy sugli endpoint VPC per le azioni di Amazon Bedrock Mantle**
Di seguito è riportato l'esempio di una policy dell'endpoint personalizzata. Quando colleghi questa policy basata sulle risorse all'endpoint dell'interfaccia, concede l'accesso alle azioni Amazon Bedrock Mantle elencate per tutti i principali su tutte le risorse.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock-mantle:CreateInference"
],
"Resource":"*"
}
]
}
```
# (Esempio) Limitazione dell’accesso ai dati di Amazon S3 utilizzando VPC
Puoi utilizzare una VPC per limitare l’accesso ai dati nei bucket Amazon S3. Per una maggiore sicurezza, puoi configurare il VPC senza accesso a Internet e creare un endpoint per la stessa con AWS PrivateLink. Puoi anche limitare l’accesso collegando policy basate sulle risorse all’endpoint VPC o al bucket S3.
**Topics**
+ [Creazione di un endpoint VPC Amazon S3](#vpc-s3-create)
+ [(Facoltativo) Utilizzare policy IAM per limitare l’accesso ai file S3](#vpc-policy-rbp)
## Creazione di un endpoint VPC Amazon S3
Se configuri il VPC senza accesso a Internet, devi creare un [endpoint VPC Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html) per consentire ai processi di personalizzazione del modello di accedere ai bucket S3 che memorizzano i dati di formazione e convalida e che archivieranno gli artefatti del modello.
Crea l’endpoint VPC S3 seguendo i passaggi indicati in [Creazione di un endpoint gateway per Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3).
**Nota**
Se non utilizzi le impostazioni DNS predefinite per il tuo VPC, devi assicurarti che URLs le quattro posizioni dei dati nei processi di formazione vengano risolte configurando le tabelle di routing degli endpoint. Per informazioni sulle tabelle di routing degli endpoint VPC, consulta [Routing per endpoint gateway](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing).
## (Facoltativo) Utilizzare policy IAM per limitare l’accesso ai file S3
Puoi utilizzare [policy basate sulle risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) per controllare in modo più rigoroso l’accesso ai file S3. Puoi utilizzare qualsiasi combinazione dei seguenti tipi di policy basate sulle risorse.
+ **Policy di endpoint**: puoi collegare policy di endpoint all’endpoint VPC per limitare l’accesso tramite l’endpoint VPC. La policy di endpoint predefinita consente l’accesso completo ad Amazon S3 da parte di utenti o servizi nel VPC. Durante o dopo la creazione dell’endpoint, puoi facoltativamente collegare all’endpoint una policy basata su risorse per aggiungere restrizioni, ad esempio consentire all’endpoint di accedere solo a un bucket specifico o consentire solo a un ruolo IAM specifico di accedere all’endpoint. Per esempi, consulta [Modifica della policy degli endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#edit-vpc-endpoint-policy-s3).
Di seguito è riportato un esempio di policy che puoi collegare all’endpoint VPC per consentirgli di accedere solo al bucket specificato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToTrainingBucket",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
]
}
]
}
```
------
+ **Policy di bucket**: puoi collegare una policy di bucket a un bucket S3 per limitarne l’accesso. Per creare una policy di bucket, segui le fasi descritte in [Utilizzo delle policy di bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html). Per limitare l’accesso al traffico proveniente dal VPC, puoi utilizzare le chiavi di condizione per specificare il VPC stesso, un endpoint VPC o l’indirizzo IP del VPC. [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce)
Di seguito è riportato un esempio di policy che puoi collegare a un bucket S3 per rifiutare tutto il traffico verso il bucket a meno che non provenga dal tuo VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToOutputBucket",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:sourceVpc": "vpc-11223344556677889"
}
}
}
]
}
```
------
Per altri esempi, consulta [Controllo dell’accesso utilizzando policy di bucket](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#bucket-policies-s3).