[Opzionale] Proteggi i tuoi lavori di personalizzazione del modello utilizzando un VPC - Amazon Bedrock
Configura VPC per proteggere i tuoi dati durante la personalizzazione del modelloVPCAssocia le autorizzazioni a un ruolo di personalizzazione del modelloAggiungi la VPC configurazione quando invii un lavoro di personalizzazione del modello

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

[Opzionale] Proteggi i tuoi lavori di personalizzazione del modello utilizzando un VPC

Quando viene eseguito, un processo di personalizzazione del modello accede al bucket Amazon S3 per scaricare i dati di input e caricare le metriche del processo. Per controllare l'accesso ai tuoi dati, ti consigliamo di utilizzare un cloud privato virtuale (VPC) con Amazon VPC. Puoi proteggere ulteriormente i tuoi dati configurandoli VPC in modo che non siano disponibili su Internet e creando invece un endpoint di VPC interfaccia con AWS PrivateLinkper stabilire una connessione privata ai tuoi dati. Per ulteriori informazioni su come Amazon VPC e AWS PrivateLink integrarsi con Amazon Bedrock, vediProteggi i tuoi dati con Amazon VPC e AWS PrivateLink.

Esegui i seguenti passaggi per configurare e utilizzare un VPC per la formazione, la convalida e i dati di output per i lavori di personalizzazione del modello.

Configura VPC per proteggere i tuoi dati durante la personalizzazione del modello

Per configurare unVPC, segui i passaggi riportati inConfigura un VPC. Puoi proteggere ulteriormente il tuo dispositivo VPC configurando un VPC endpoint S3 e utilizzando IAM policy basate sulle risorse per limitare l'accesso al bucket S3 contenente i dati di personalizzazione del modello seguendo la procedura riportata qui. (Esempio) Limita l'accesso ai dati di Amazon S3 utilizzando VPC

VPCAssocia le autorizzazioni a un ruolo di personalizzazione del modello

Dopo aver completato la configurazioneVPC, assegna le seguenti autorizzazioni al ruolo del servizio di personalizzazione del modello per consentirgli di accedere a. VPC Modifica questa politica per consentire l'accesso solo alle VPC risorse di cui il tuo lavoro ha bisogno. Sostituisci il ${{subnet-ids}} e security-group-id con i valori del tuoVPC.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
            ],
            "Resource":[
               "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*"
            ],
            "Condition": {
               "StringEquals": { 
                   "aws:RequestTag/BedrockManaged": ["true"]
                },
                "ArnEquals": {
                   "aws:RequestTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"]
               }
            }
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
            ],
            "Resource":[
               "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
               "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}",
               "arn:aws:ec2:${{region}}:${{account-id}}:security-group/security-group-id"
            ]
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
            ],
            "Resource": "*",
            "Condition": {
               "ArnEquals": {
                   "ec2:Subnet": [
                       "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
                       "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}"
                   ],
                   "ec2:ResourceTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"]
               },
               "StringEquals": { 
                   "ec2:ResourceTag/BedrockManaged": "true"
               }
            }
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]    
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelCustomizationJobArn"
                    ]
                }
            }
        }
    ]
}

Aggiungi la VPC configurazione quando invii un lavoro di personalizzazione del modello

Dopo aver configurato i ruoli VPC e le autorizzazioni richiesti come descritto nelle sezioni precedenti, è possibile creare un processo di personalizzazione del modello che lo utilizzi. VPC

Quando specifichi le VPC sottoreti e i gruppi di sicurezza per un job, Amazon Bedrock crea interfacce di rete elastiche (ENIs) associate ai tuoi gruppi di sicurezza in una delle sottoreti. ENIsconsenti al job Amazon Bedrock di connettersi alle risorse del tuoVPC. Per informazioni suENIs, consulta Elastic Network Interfaces nella Amazon VPC User Guide. Tag Amazon Bedrock con ENIs cui crea BedrockManaged e BedrockModelCusomizationJobArn tag.

Si consiglia di fornire almeno una sottorete in ogni zona di disponibilità.

Puoi utilizzare i gruppi di sicurezza per stabilire regole per controllare l'accesso di Amazon Bedrock alle tue VPC risorse.

Puoi VPC configurarne l'utilizzo nella console o tramite. API Seleziona la scheda corrispondente al metodo scelto e segui i passaggi.

Console

Per la console Amazon Bedrock, specifichi VPC sottoreti e gruppi di sicurezza nella sezione VPCdelle impostazioni opzionali quando crei il processo di personalizzazione del modello. Per ulteriori informazioni sulla configurazione dei job, consulta. Invia un lavoro di personalizzazione del modello

Nota

Per un lavoro che include la VPC configurazione, la console non può creare automaticamente un ruolo di servizio per te. Segui le indicazioni riportate in Creare un ruolo di servizio per la personalizzazione del modello per creare un ruolo personalizzato.

API

Quando invii una CreateModelCustomizationJobrichiesta, puoi includere un parametro VpcConfig as a request per specificare le VPC sottoreti e i gruppi di sicurezza da utilizzare, come nell'esempio seguente.

"vpcConfig": { 
    "securityGroupIds": [
        "${{sg-0123456789abcdef0}}"
    ],
    "subnets": [
        "${{subnet-0123456789abcdef0}}",
        "${{subnet-0123456789abcdef1}}",
        "${{subnet-0123456789abcdef2}}"
    ]
}