を使用してバッチ推論ジョブを保護する VPC - Amazon Bedrock
バッチ推論中にデータVPCを保護するために をセットアップするバッチ推論ロールにアクセスVPC許可をアタッチするバッチ推論ジョブを送信するときにVPC設定を追加する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用してバッチ推論ジョブを保護する VPC

バッチ推論ジョブを実行すると、ジョブは Amazon S3 バケットにアクセスして入力データをダウンロードし、出力データを書き込みます。データへのアクセスを制御するには、Amazon VPCで仮想プライベートクラウド (VPC) を使用することをお勧めします。データをインターネット経由で利用できないVPCように を設定し、 でVPCインターフェイスエンドポイントを作成してデータへのプライベート接続AWS PrivateLinkを確立することで、データをさらに保護できます。Amazon VPCと Amazon Bedrock AWS PrivateLink の統合方法の詳細については、「」を参照してくださいAmazon VPCと を使用してデータを保護する AWS PrivateLink

次の手順を実行して、バッチ推論ジョブVPCの入力プロンプトと出力モデルレスポンスに を設定して使用します。

バッチ推論中にデータVPCを保護するために をセットアップする

を設定するにはVPC、「」のステップに従いますのセットアップ VPC。S3 VPCエンドポイントVPCを設定し、リソースベースのIAMポリシーを使用してバッチ推論データを含む S3 バケットへのアクセスを制限することで、 をさらに保護できます(例) を使用して Amazon S3 データへのデータアクセスを制限する VPC

バッチ推論ロールにアクセスVPC許可をアタッチする

の設定が完了したらVPC、バッチ推論サービスロールに次のアクセス許可をアタッチして、 へのアクセスを許可しますVPC。このポリシーを変更して、ジョブに必要なVPCリソースのみへのアクセスを許可します。を置き換える subnet-ids また、security-group-id の値を使用しますVPC。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
                "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
                "arn:aws:ec2:${{region}}:${{account-id}}:security-group/${{security-group-id}}"
            ],
            "Condition": {
               "StringEquals": { 
                   "aws:RequestTag/BedrockManaged": ["true"]
                },
                "ArnEquals": {
                   "aws:RequestTag/BedrockModelInvocationJobArn": 
                   ["arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"]
               }
            }
        },
        {
            "Sid": "3",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:Subnet": [
                        "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}"
                    ]
                },
                "ArnEquals": {
                    "ec2:ResourceTag/BedrockModelInvocationJobArn": [
                        "arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "4",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]    
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelInvocationJobArn"
                    ]
                }
             }
        }
    ]
}

バッチ推論ジョブを送信するときにVPC設定を追加する

前のセクションで説明したように、 VPC と必要なロールとアクセス許可を設定したら、この を使用するバッチ推論ジョブを作成できますVPC。

注記

現在、バッチ推論ジョブを作成するときは、 VPCからのみ を使用できますAPI。

ジョブのVPCサブネットとセキュリティグループを指定すると、Amazon Bedrock はいずれかのサブネットのセキュリティグループに関連付けられているElastic Network Interface (ENIs) を作成します。ENIs Amazon Bedrock ジョブが のリソースに接続できるようにしますVPC。の詳細についてはENIs、「Amazon VPCユーザーガイド」の「Elastic Network Interfaces」を参照してください。BedrockManaged および タグでENIs作成する Amazon Bedrock BedrockModelInvocationJobArn タグ。

アベイラビリティーゾーンごとに少なくとも 1 つのサブネットを指定することをお勧めします。

セキュリティグループを使用して、VPCリソースへの Amazon Bedrock アクセスを制御するためのルールを確立できます。

コンソールまたは を介して を使用するVPCように を設定できますAPI。選択した方法に対応するタブを選択し、ステップに従います。

Console

Amazon Bedrock コンソールでは、バッチ推論ジョブを送信するときに、オプションVPCの設定セクションでVPCサブネットとセキュリティグループを指定します。

注記

VPC 設定を含むジョブの場合、コンソールはサービスロールを自動的に作成できません。のガイダンスに従ってバッチ推論用のサービスロールを作成する、カスタムロールを作成します。

API

CreateModelInvocationJob リクエストを送信するときは、次の例のように、 をリクエストパラメータVpcConfigとして含めて、使用するVPCサブネットとセキュリティグループを指定できます。

"vpcConfig": { 
    "securityGroupIds": [
        "sg-0123456789abcdef0"
    ],
    "subnets": [
        "subnet-0123456789abcdef0",
        "subnet-0123456789abcdef1",
        "subnet-0123456789abcdef2"
    ]
}