翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
〔オプション] を使用してモデルカスタマイズジョブを保護する VPC
モデルカスタマイズジョブを実行すると、ジョブは Amazon S3 バケットにアクセスすることで、入力データをダウンロードしてジョブメトリクスをアップロードします。データへのアクセスを制御するには、Amazon で仮想プライベートクラウド (VPC) を使用することをお勧めします。 VPCデータをさらに保護するには、データをインターネット経由で使用VPCしないように を設定し、代わりに AWS PrivateLink でVPCインターフェイスエンドポイントを作成してデータへのプライベート接続を確立します。Amazon VPCと Amazon Bedrock AWS PrivateLink の統合方法の詳細については、「」を参照してくださいAmazon VPC と AWS PrivateLink を使用してデータを保護する。
モデルカスタマイズジョブのトレーニング、検証、出力データVPC用に を設定して使用するには、次のステップを実行します。
モデルカスタマイズ中にデータを保護するVPCように を設定する
をセットアップするにはVPC、「」の手順に従いますVPC をセットアップする。S3 VPCエンドポイントVPCを設定し、リソースベースのIAMポリシーを使用して、 の手順に従ってモデルカスタマイズデータを含む S3 バケットへのアクセスを制限することで、 をさらに保護できます(例) VPC を使用して Amazon S3 データへのデータアクセスを制限する。
モデルカスタマイズロールにアクセスVPC許可をアタッチする
の設定が完了したらVPC、モデルカスタマイズサービスロールに次のアクセス許可をアタッチして、 へのアクセスを許可しますVPC。このポリシーを変更して、ジョブに必要なVPCリソースのみへのアクセスを許可します。${{subnet-ids}} と を の値security-group-idに置き換えますVPC。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", ], "Resource":[ "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*" ], "Condition": { "StringEquals": { "aws:RequestTag/BedrockManaged": ["true"] }, "ArnEquals": { "aws:RequestTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", ], "Resource":[ "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}", "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}", "arn:aws:ec2:${{region}}:${{account-id}}:security-group/security-group-id" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", ], "Resource": "*", "Condition": { "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}", "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}" ], "ec2:ResourceTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"] }, "StringEquals": { "ec2:ResourceTag/BedrockManaged": "true" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": [ "CreateNetworkInterface" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "BedrockManaged", "BedrockModelCustomizationJobArn" ] } } } ] }
モデルカスタマイズジョブを送信するときにVPC設定を追加する
前のセクションで説明したように、 VPCと必要なロールとアクセス許可を設定したら、この を使用するモデルカスタマイズジョブを作成できますVPC。
ジョブのVPCサブネットとセキュリティグループを指定すると、Amazon Bedrock はサブネットの 1 つでセキュリティグループに関連付けられた Elastic Network Interface (ENIs) を作成します。 ENIs は、Amazon Bedrock ジョブが 内のリソースに接続できるようにしますVPC。の詳細についてはENIs、「Amazon VPCユーザーガイド」の「Elastic Network Interfaces」を参照してください。BedrockManaged および タグでENIs作成する Amazon Bedrock BedrockModelCusomizationJobArn タグ。
アベイラビリティーゾーンごとに少なくとも 1 つのサブネットを指定することをお勧めします。
セキュリティグループを使用して、Amazon Bedrock のVPCリソースへのアクセスを制御するためのルールを確立できます。
コンソールまたは を使用して を使用するVPCように を設定できますAPI。任意の方法のタブを選択し、ステップに従います。
