翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
〔オプション] を使用してモデルカスタマイズジョブを保護する VPC
モデルカスタマイズジョブを実行すると、ジョブは Amazon S3 バケットにアクセスすることで、入力データをダウンロードしてジョブメトリクスをアップロードします。データへのアクセスを制御するには、Amazon VPCで仮想プライベートクラウド (VPC) を使用することをお勧めします。データをインターネット経由で利用できないVPCように を設定し、 でVPCインターフェイスエンドポイントを作成してデータへのプライベート接続AWS PrivateLinkを確立することで、データをさらに保護できます。Amazon VPCと Amazon Bedrock AWS PrivateLink の統合方法の詳細については、「」を参照してくださいAmazon VPCと を使用してデータを保護する AWS PrivateLink。
モデルカスタマイズジョブのトレーニング、検証、出力データVPC用に を設定して使用するには、次の手順を実行します。
モデルカスタマイズ中にデータを保護するVPCように をセットアップする
を設定するにはVPC、「」のステップに従いますのセットアップ VPC。S3 VPCエンドポイントVPCを設定し、リソースベースのIAMポリシーを使用して、 の手順に従ってモデルカスタマイズデータを含む S3 バケットへのアクセスを制限することで、 をさらに保護できます(例) を使用して Amazon S3 データへのデータアクセスを制限する VPC。
モデルカスタマイズロールにアクセスVPC許可をアタッチする
の設定が完了したらVPC、モデルカスタマイズサービスロールに次のアクセス許可をアタッチして、 へのアクセスを許可しますVPC。このポリシーを変更して、ジョブに必要なVPCリソースのみへのアクセスを許可します。を置き換える ${{subnet-ids}} また、security-group-id の値を使用しますVPC。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", ], "Resource":[ "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*" ], "Condition": { "StringEquals": { "aws:RequestTag/BedrockManaged": ["true"] }, "ArnEquals": { "aws:RequestTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", ], "Resource":[ "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}", "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}", "arn:aws:ec2:${{region}}:${{account-id}}:security-group/security-group-id" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", ], "Resource": "*", "Condition": { "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}", "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}" ], "ec2:ResourceTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"] }, "StringEquals": { "ec2:ResourceTag/BedrockManaged": "true" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": [ "CreateNetworkInterface" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "BedrockManaged", "BedrockModelCustomizationJobArn" ] } } } ] }
モデルカスタマイズジョブを送信するときにVPC設定を追加する
前のセクションで説明したように、 VPC と必要なロールとアクセス許可を設定したら、この を使用するモデルカスタマイズジョブを作成できますVPC。
ジョブのVPCサブネットとセキュリティグループを指定すると、Amazon Bedrock はいずれかのサブネットのセキュリティグループに関連付けられているElastic Network Interface (ENIs) を作成します。ENIs Amazon Bedrock ジョブが のリソースに接続できるようにしますVPC。の詳細についてはENIs、「Amazon VPCユーザーガイド」の「Elastic Network Interfaces」を参照してください。BedrockManaged および タグでENIs作成する Amazon Bedrock BedrockModelCusomizationJobArn タグ。
アベイラビリティーゾーンごとに少なくとも 1 つのサブネットを指定することをお勧めします。
セキュリティグループを使用して、VPCリソースへの Amazon Bedrock アクセスを制御するためのルールを確立できます。
コンソールまたは を介して を使用するVPCように を設定できますAPI。選択した方法に対応するタブを選択し、ステップに従います。
