翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用してバッチ推論ジョブを保護する VPC
バッチ推論ジョブを実行すると、ジョブは Amazon S3 バケットにアクセスして入力データをダウンロードし、出力データを書き込みます。データへのアクセスを制御するには、Amazon で仮想プライベートクラウド (VPC) を使用することをお勧めします。 VPCデータをさらに保護するには、 を設定VPCしてデータをインターネット経由で使用しないようにし、代わりに AWS PrivateLinkでVPCインターフェイスエンドポイントを作成してデータへのプライベート接続を確立します。Amazon VPCと Amazon Bedrock AWS PrivateLink の統合方法の詳細については、「」を参照してくださいAmazon VPC と AWS PrivateLink を使用してデータを保護する。
バッチ推論ジョブVPCの入力プロンプトと出力モデルレスポンスに を設定して使用するには、次のステップを実行します。
バッチ推論中にデータを保護するVPCように を設定する
をセットアップするにはVPC、「」の手順に従いますVPC をセットアップする。S3 VPCエンドポイントVPCを設定し、リソースベースのIAMポリシーを使用してバッチ推論データを含む S3 バケットへのアクセスを制限することで、 をさらに保護できます(例) VPC を使用して Amazon S3 データへのデータアクセスを制限する。
バッチ推論ロールにアクセスVPC許可をアタッチする
の設定が完了したらVPC、バッチ推論サービスロールに次のアクセス許可をアタッチして、 へのアクセスを許可しますVPC。このポリシーを変更して、ジョブに必要なVPCリソースのみへのアクセスを許可します。subnet-ids と を の値security-group-idに置き換えますVPC。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "1", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": [ "*" ] }, { "Sid": "2", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*", "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}", "arn:aws:ec2:${{region}}:${{account-id}}:security-group/${{security-group-id}}" ], "Condition": { "StringEquals": { "aws:RequestTag/BedrockManaged": ["true"] }, "ArnEquals": { "aws:RequestTag/BedrockModelInvocationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"] } } }, { "Sid": "3", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "ec2:Subnet": [ "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}" ] }, "ArnEquals": { "ec2:ResourceTag/BedrockModelInvocationJobArn": [ "arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*" ] } } }, { "Sid": "4", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": [ "CreateNetworkInterface" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "BedrockManaged", "BedrockModelInvocationJobArn" ] } } } ] }
バッチ推論ジョブを送信するときにVPC設定を追加する
前のセクションで説明したように、 VPCと必要なロールとアクセス許可を設定したら、この を使用するバッチ推論ジョブを作成できますVPC。
注記
現在、バッチ推論ジョブを作成するときは、 VPCからのみ を使用できますAPI。
ジョブのVPCサブネットとセキュリティグループを指定すると、Amazon Bedrock はサブネットの 1 つでセキュリティグループに関連付けられた Elastic Network Interface (ENIs) を作成します。 ENIs は、Amazon Bedrock ジョブが 内のリソースに接続できるようにしますVPC。の詳細についてはENIs、「Amazon VPCユーザーガイド」の「Elastic Network Interfaces」を参照してください。BedrockManaged および タグでENIs作成する Amazon Bedrock BedrockModelInvocationJobArn タグ。
アベイラビリティーゾーンごとに少なくとも 1 つのサブネットを指定することをお勧めします。
セキュリティグループを使用して、 VPCリソースへの Amazon Bedrock アクセスを制御するためのルールを確立できます。
コンソールまたは を使用して を使用するVPCように を設定できますAPI。任意の方法のタブを選択し、ステップに従います。
