のセットアップ VPC Amazon S3 VPCエンドポイントを作成する（オプション) IAMポリシーを使用して S3 ファイルへのアクセスを制限するカスタムモデルインポートロールにアクセスVPC許可をアタッチします。モデルインポートジョブを送信するときにVPC設定を追加する

（オプション) を使用してカスタムモデルインポートジョブを保護する VPC

カスタムモデルのインポートジョブを実行すると、ジョブは Amazon S3 バケットにアクセスして入力データをダウンロードし、ジョブメトリクスをアップロードします。データへのアクセスを制御するには、Amazon で仮想プライベートクラウド (VPC) を使用することをお勧めします。 VPCデータをさらに保護するには、を設定VPCしてデータをインターネット経由で使用しないようにし、代わりに AWS PrivateLinkでVPCインターフェイスエンドポイントを作成してデータへのプライベート接続を確立します。Amazon VPCと Amazon Bedrock AWS PrivateLink の統合方法の詳細については、「」を参照してくださいAmazon VPC と AWS PrivateLink を使用してデータを保護する。

カスタムモデルのインポートにを設定して使用するVPCには、次のステップを実行します。

のセットアップ VPC

「Amazon の開始方法VPC」および「の作成」のガイダンスに従ってVPC、モデルのインポートデータのデフォルトVPCを使用するか、新しい VPCを作成できます。

を作成するときはVPC、標準の Amazon S3 URLs ( などhttp://s3-aws-region.amazonaws.com/model-bucket) が解決されるように、エンドポイントルートテーブルDNSのデフォルト設定を使用することをお勧めします。

Amazon S3 VPCエンドポイントを作成する

インターネットにアクセスVPCせずにを設定する場合は、Amazon S3 VPCエンドポイントを作成して、モデルインポートジョブがトレーニングデータと検証データを保存し、モデルアーティファクトを保存する S3 バケットにアクセスできるようにする必要があります。

「Amazon S3 のゲートウェイVPCエンドポイントを作成する」の手順に従って S3 エンドポイントを作成します。 Amazon S3

注記

のデフォルト設定を使用しない場合はDNSVPC、エンドポイントルートテーブルを設定して、トレーニングジョブ内のデータURLsの場所のが解決されるようにする必要があります。VPC エンドポイントルートテーブルの詳細については、「ゲートウェイエンドポイントのルーティング」を参照してください。

（オプション) IAMポリシーを使用して S3 ファイルへのアクセスを制限する

リソースベースのポリシーを使用して、S3 ファイルへのアクセスをより厳密に制御できます。次のタイプのリソースベースのポリシーを使用できます。

エンドポイントポリシー – エンドポイントポリシーはVPC、エンドポイントを介したアクセスを制限します。デフォルトのエンドポイントポリシーでは、内の任意のユーザーまたはサービスに対して Amazon S3 へのフルアクセスを許可しますVPC。エンドポイントの作成時または作成後に、オプションでリソースベースのポリシーをエンドポイントにアタッチして、エンドポイントが特定のバケットにアクセスすることを許可する、または特定のIAMロールのみがエンドポイントにアクセスすることを許可するなどの制限を追加できます。例については、VPC「エンドポイントポリシーの編集」を参照してください。

以下は、モデルの重みを含むバケットへのアクセスのみを許可するためにVPCエンドポイントにアタッチできるポリシーの例です。
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictAccessToModelWeightsBucket",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::model-weights-bucket",
                "arn:aws:s3:::model-weights-bucket/*"
            ]
        }
    ]
}
```

カスタムモデルインポートロールにアクセスVPC許可をアタッチします。

VPC とエンドポイントの設定が完了したら、モデルインポートIAMロールに次のアクセス許可をアタッチする必要があります。このポリシーを変更して、ジョブに必要なVPCリソースのみへのアクセスを許可します。subnet-ids とをの値security-group-idに置き換えますVPC。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
                    ],
            "Resource": "*"
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
            ],
            "Resource":[
               "arn:aws:ec2:region:account-id:network-interface/*"
            ],
            "Condition": {
               "StringEquals": { 
                   "aws:RequestTag/BedrockManaged": ["true"]
                },
                "ArnEquals": {
                   "aws:RequestTag/BedrockModelImportJobArn": ["arn:aws:bedrock:region:account-id:model-import-job/*"]
               }
            }
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
            ],
            "Resource":[
               "arn:aws:ec2:region:account-id:subnet/subnet-id",
               "arn:aws:ec2:region:account-id:subnet/subnet-id2",
               "arn:aws:ec2:region:account-id:security-group/security-group-id"
            ]
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
            ],
            "Resource": "*",
            "Condition": {
               "ArnEquals": {
                   "ec2:Subnet": [
                       "arn:aws:ec2:region:account-id:subnet/subnet-id",
                       "arn:aws:ec2:region:account-id:subnet/subnet-id2"
                   ],
                   "ec2:ResourceTag/BedrockModelImportJobArn": ["arn:aws:bedrock:region:account-id:model-import-job/*"]
               },
               "StringEquals": { 
                   "ec2:ResourceTag/BedrockManaged": "true"
               }
            }
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:region:account-id:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]    
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelImportJobArn"
                    ]
                }
         }
    ]
}

モデルインポートジョブを送信するときにVPC設定を追加する

前のセクションで説明したように、 VPCと必要なロールとアクセス許可を設定したら、このを使用するモデルインポートジョブを作成できますVPC。

ジョブのVPCサブネットとセキュリティグループを指定すると、Amazon Bedrock は、いずれかのサブネットのセキュリティグループに関連付けられた Elastic Network Interface (ENIs) を作成します。 ENIs は、Amazon Bedrock ジョブが内のリソースに接続できるようにしますVPC。の詳細についてはENIs、「Amazon VPCユーザーガイド」の「Elastic Network Interfaces」を参照してください。BedrockManaged およびタグでENIs作成する Amazon Bedrock BedrockModelImportJobArn タグ。

アベイラビリティーゾーンごとに少なくとも 1 つのサブネットを指定することをお勧めします。

セキュリティグループを使用して、 VPCリソースへの Amazon Bedrock アクセスを制御するためのルールを確立できます。

コンソールまたはを使用してを使用するVPCようにを設定できますAPI。任意の方法のタブを選択し、ステップに従います。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

モデルのインポートの前提条件

Submit a model import job