Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
[Opzionale] Proteggi i processi di personalizzazione del modello utilizzando un VPC
Quando viene eseguito, un processo di personalizzazione del modello accede al bucket Amazon S3 per scaricare i dati di input e caricare le metriche del processo. Per controllare l'accesso ai tuoi dati, ti consigliamo di utilizzare un cloud privato virtuale (VPC) con Amazon VPC. Puoi proteggere ulteriormente i tuoi dati configurando il tuo VPC in modo che non siano disponibili su Internet e creando invece un endpoint di interfaccia VPC AWS PrivateLinkcon cui stabilire una connessione privata ai tuoi dati. Per ulteriori informazioni su come Amazon VPC si AWS PrivateLink integra con Amazon Bedrock, consulta. Proteggi i tuoi dati con Amazon VPC e AWS PrivateLink
Esegui i seguenti passaggi per configurare e utilizzare un VPC per la formazione, la convalida e i dati di output per i lavori di personalizzazione del modello.
Argomenti
Configura VPC per proteggere i tuoi dati durante la personalizzazione del modello
Per configurare un VPC, segui i passaggi riportati in. Configurazione VPC Puoi proteggere ulteriormente il tuo VPC configurando un endpoint VPC S3 e utilizzando policy IAM basate su risorse per limitare l'accesso al bucket S3 contenente i dati di personalizzazione del modello seguendo i passaggi riportati di seguito. (Esempio) Limita l'accesso ai dati di Amazon S3 tramite VPC
Associa le autorizzazioni VPC a un ruolo di personalizzazione del modello
Dopo aver completato la configurazione del VPC, assegna le seguenti autorizzazioni al ruolo del servizio di personalizzazione del modello per consentirgli di accedere al VPC. Modifica questa policy per consentire l'accesso solo alle risorse VPC di cui il tuo lavoro ha bisogno. Sostituisci ${{subnet-ids}}
e security-group-id
con i valori del tuo VPC.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", ], "Resource":[ "arn:aws:ec2:
${{region}}
:${{account-id}}
:network-interface/*" ], "Condition": { "StringEquals": { "aws:RequestTag/BedrockManaged": ["true"] }, "ArnEquals": { "aws:RequestTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}
:${{account-id}}
:model-customization-job/*"] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", ], "Resource":[ "arn:aws:ec2:${{region}}
:${{account-id}}
:subnet/${{subnet-id}}
", "arn:aws:ec2:${{region}}
:${{account-id}}
:subnet/${{subnet-id2}}
", "arn:aws:ec2:${{region}}
:${{account-id}}
:security-group/security-group-id
" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", ], "Resource": "*", "Condition": { "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:${{region}}
:${{account-id}}
:subnet/${{subnet-id}}
", "arn:aws:ec2:${{region}}
:${{account-id}}
:subnet/${{subnet-id2}}
" ], "ec2:ResourceTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}
:${{account-id}}
:model-customization-job/*"] }, "StringEquals": { "ec2:ResourceTag/BedrockManaged": "true" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:${{region}}
:${{account-id}}
:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": [ "CreateNetworkInterface" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "BedrockManaged", "BedrockModelCustomizationJobArn" ] } } } ] }
Aggiungi la configurazione VPC quando invii un processo di personalizzazione del modello
Dopo aver configurato il VPC, nonché le autorizzazioni e i ruoli richiesti e descritti nelle sezioni precedenti, puoi creare un processo di personalizzazione del modello che utilizza questo VPC.
Quando specifichi le sottoreti VPC e i gruppi di sicurezza per un job, Amazon Bedrock crea interfacce di rete elastiche (ENIs) associate ai tuoi gruppi di sicurezza in una delle sottoreti. ENIs consenti al job Amazon Bedrock di connettersi alle risorse nel tuo VPC. Per informazioni su ENIs, consulta Elastic Network Interfaces nella Amazon VPC User Guide. Tag Amazon Bedrock con ENIs cui crea BedrockManaged
e BedrockModelCusomizationJobArn
tag.
Si consiglia di fornire almeno una sottorete in ogni zona di disponibilità.
Puoi utilizzare i gruppi di sicurezza per stabilire delle regole per controllare l'accesso di Amazon Bedrock alle risorse VPC.
Puoi configurare il VPC per utilizzarlo nella console o tramite l'API. Scegli la scheda relativa al tuo metodo preferito, quindi segui i passaggi: