翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon VPC と AWS PrivateLink を使用してデータを保護する
データへのアクセスを制御するには、[Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) で仮想プライベートクラウド (VPC) を使用することをお勧めします。VPC の使用はデータを保護し、[VPC フローログ](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)を使って AWS ジョブコンテナに出入りするすべてのネットワークトラフィックを監視することもできます。
データをインターネット経由で利用できないように VPC を設定し、代わりに [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) で VPC インターフェイスエンドポイントを作成してデータへのプライベート接続を確立することで、データをさらに保護することができます。
以下は、VPC を使用してデータを保護できる Amazon Bedrock の機能の一部です。
+ モデルのカスタマイズ – [(オプション) VPC を使用してモデルのカスタマイズのジョブを保護する](custom-model-job-access-security.md#vpc-model-customization)
+ バッチ推論 – [VPC を使用してバッチ推論ジョブを保護する](batch-vpc.md)
+ Amazon Bedrock ナレッジベース – [インターフェイスエンドポイント (AWS PrivateLink) を使用して Amazon OpenSearch Serverless にアクセスする](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html)
## VPC をセットアップする
「[Get started with Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html)」および「[VPC の作成](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)」のガイダンスに従って、「[デフォルト VPC](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html)」を使用するか、新しい VPC を作成できます。
VPC を作成する際、標準 Amazon S3 URL (例: `http://s3-aws-region.amazonaws.com/training-bucket`) が解決されるように、エンドポイントルートテーブルにデフォルトの DNS 設定を使うことをお勧めします。
以下のトピックでは、AWS PrivateLink を使用して VPC エンドポイントを設定する方法と、S3 ファイルへのアクセスを保護するために VPC を使用するユースケースの例を示します。
**Topics**
+ [VPC をセットアップする](#create-vpc)
+ [インターフェイス VPC エンドポイント (AWS PrivateLink) を使用して、VPC と Amazon Bedrock 間にプライベート接続を作成します。](vpc-interface-endpoints.md)
+ [(例) VPC を使用して Amazon S3 データへのデータアクセスを制限する](vpc-s3.md)
# インターフェイス VPC エンドポイント (AWS PrivateLink) を使用して、VPC と Amazon Bedrock 間にプライベート接続を作成します。
を使用して AWS PrivateLink 、VPC と Amazon Bedrock の間にプライベート接続を作成できます。インターネットゲートウェイ、NAT デバイス、VPN 接続、または Direct Connect 接続を使用せずに、VPC 内にあるかのように Amazon Bedrock にアクセスできます。VPC のインスタンスは、パブリック IP アドレスがなくても Amazon Bedrock にアクセスできます。
このプライベート接続を確立するには、 AWS PrivateLinkを利用した*インターフェイスエンドポイント*を作成します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、Amazon Bedrock 宛てのトラフィックのエントリポイントとして機能するリクエスタ管理型ネットワークインターフェイスです。
詳細については、「 *AWS PrivateLink ガイド*」の[「Access AWS のサービス through AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)」を参照してください。
## Amazon Bedrock VPC エンドポイントに関する考慮事項
Amazon Bedrock のインターフェイスエンドポイントを設定する前に、「AWS PrivateLink ガイド」の「[考慮事項](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)」を確認してください。
Amazon Bedrock は、VPC エンドポイントを介して以下の API コールを実行できます。
****
| Category | エンドポイントサフィックス |
| --- | --- |
| [Amazon Bedrock コントロールプレーン API アクション](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock.html) | bedrock |
| [Amazon Bedrock ランタイム API アクション](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html) | bedrock-runtime |
| Amazon Bedrock Mantle API アクション | bedrock-mantle |
| [Amazon Bedrock エージェント Build-time API アクション](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock.html) | bedrock-agent |
| [Amazon Bedrock エージェントランタイム API アクション](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock_Runtime.html) | bedrock-agent-runtime |
アベイラビリティーゾーン****
Amazon Bedrock および Amazon Bedrock エージェントエンドポイントは、複数のアベイラビリティーゾーンで使用できます。
## Amazon Bedrock 用のインターフェイスエンドポイントを作成する
Amazon Bedrock のインターフェイスエンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface () を使用して作成できますAWS CLI。詳細については、「*AWS PrivateLink ガイド*」の「[インターフェイスエンドポイントを作成](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)」を参照してください。
以下のサービス名のいずれかを使用して Amazon Bedrock のインターフェイスエンドポイントを作成します。
+ `com.amazonaws.region.bedrock`
+ `com.amazonaws.region.bedrock-runtime`
+ `com.amazonaws.region.bedrock-mantle`
+ `com.amazonaws.region.bedrock-agent`
+ `com.amazonaws.region.bedrock-agent-runtime`
エンドポイントを作成後に、プライベート DNS ホスト名を有効にするオプションがあります。VPC エンドポイントの作成時に VPC コンソールで [プライベート DNS 名を有効にする] を選択して、この設定名を有効にします。
エンドポイントのプライベート DNS を有効にすると、リージョンのデフォルト DNS 名 ( など) を使用して、Amazon Bedrock への API リクエストを実行できます。次の例は、デフォルトのリージョン DNS 名の形式を示しています。
+ `bedrock.region.amazonaws.com`
+ `bedrock-runtime.region.amazonaws.com`
+ `bedrock-mantle.region.api.aws`
+ `bedrock-agent.region.amazonaws.com`
+ `bedrock-agent-runtime.region.amazonaws.com`
## インターフェイスエンドポイントのエンドポイントポリシーを作成する
エンドポイントポリシーは、インターフェイスエンドポイントにアタッチできる IAM リソースです。デフォルトのエンドポイントポリシーでは、インターフェイスエンドポイント経由での Amazon Bedrock へのフルアクセスが許可されています。VPC から Amazon Bedrock への許可されたアクセスをコントロールするには、カスタムエンドポイントポリシーをインターフェイスエンドポイントにアタッチします。
エンドポイントポリシーは以下の情報を指定します。
+ アクションを実行できるプリンシパル (AWS アカウント、IAM ユーザー、IAM ロール)。
+ 実行可能なアクション。
+ このアクションを実行できるリソース。
詳細については、*AWS PrivateLink ガイド*の[Control access to services using endpoint policies (エンドポイントポリシーを使用してサービスへのアクセスをコントロールする)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)を参照してください。
**例: Amazon Bedrock アクションの VPC エンドポイントポリシー**
以下は、カスタムエンドポイントポリシーの例です。インターフェイスエンドポイントにアタッチされると、このリソースベースのポリシーは、すべてのリソースですべてのプリンシパルに、リストされている Amazon Bedrock アクションへのアクセス権を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource":"*"
}
]
}
```
------
**例: Amazon Bedrock Mantle アクションの VPC エンドポイントポリシー**
以下は、カスタムエンドポイントポリシーの例です。このリソースベースのポリシーをインターフェイスエンドポイントにアタッチすると、すべてのリソースのすべてのプリンシパルに対して、リストされている Amazon Bedrock Mantle アクションへのアクセスが許可されます。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock-mantle:CreateInference"
],
"Resource":"*"
}
]
}
```
# (例) VPC を使用して Amazon S3 データへのデータアクセスを制限する
VPC を使用して、Amazon S3 バケット内のデータへのアクセスを制限できます。セキュリティを強化するために、インターネットアクセスなしで VPC を設定し、 AWS PrivateLinkで VPC のエンドポイントを作成することができます。リソースベースのポリシーを VPC エンドポイントまたは S3 バケットにアタッチすることで、アクセスを制限することもできます。
**Topics**
+ [Amazon S3 VPC エンドポイントを作成する](#vpc-s3-create)
+ [(オプション) IAM ポリシーを使用して S3 ファイルへのアクセスを制限する](#vpc-policy-rbp)
## Amazon S3 VPC エンドポイントを作成する
インターネットアクセスなしで VPC を設定する場合は、モデルのカスタマイズジョブが、トレーニングデータと検証データを保存し、モデルアーティファクトを保存する S3 バケットにアクセスできるように、[Amazon S3 VPC エンドポイント](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html)を作成する必要があります。
「[Create a gateway endpoint for Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3)」の手順に従って、S3 VPC エンドポイントを作成します。
**注記**
VPC にデフォルトの DNS 設定を使用しない場合は、エンドポイントルートテーブルを設定することで、トレーニングジョブのデータの場所の URL が解決されるようにする必要があります。VPC エンドポイントルートテーブルについては、 「[Routing for Gateway endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing)」を参照してください。
## (オプション) IAM ポリシーを使用して S3 ファイルへのアクセスを制限する
[リソースベースのポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)を使用して、S3 ファイルへのアクセスをより厳密に制御できます。次のタイプのリソースベースのポリシーのどの組み合わせでも使用できます。
+ **エンドポイントポリシー** – VPC エンドポイントにエンドポイントポリシーをアタッチして、VPC エンドポイントを介したアクセスを制限できます。デフォルトのエンドポイントポリシーでは、VPC のすべてのユーザーまたはサービスに対して Amazon S3 へのフルアクセスが許可されています。エンドポイントの作成中または作成後に、オプションでリソースベースのポリシーをエンドポイントにアタッチして、エンドポイントが特定のバケットにアクセスできるようにする、または特定の IAM ロールのみがエンドポイントにアクセスできるようにするなど、制限を追加できます。例については、「[Edit the VPC endpoint policy](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#edit-vpc-endpoint-policy-s3)」を参照してください。
以下は、指定するバケットへのアクセスのみを許可するように VPC エンドポイントにアタッチできるポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToTrainingBucket",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
]
}
]
}
```
------
+ **バケットポリシー** – バケットポリシーを S3 バケットにアタッチして、そのバケットへのアクセスを制限できます。バケットポリシーを作成するには、「[バケットポリシーの使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)」の手順に従います。VPC からのトラフィックへのアクセスを制限するには、条件キーを使用して VPC 自体、VPC エンドポイント、または VPC の IP アドレスを指定します。[aws:sourceVpc](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc)、[aws:sourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce)、または [aws:VpcSourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpcsourceip) の条件キーを使用することができます。
以下は、S3 バケットにアタッチできるポリシーの例で、VPC からでない限り、バケットへのすべてのトラフィックを拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToOutputBucket",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:sourceVpc": "vpc-11223344556677889"
}
}
}
]
}
```
------
その他の例については、「[Control access using bucket policies](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#bucket-policies-s3)」を参照してください。