기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon VPC 및 AWS PrivateLink를 사용하여 데이터 보호
데이터에 대한 액세스 권한을 제어하려면 [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)로 가상 프라이빗 클라우드(VPC)를 사용하는 것이 좋습니다. VPC를 사용하면 데이터를 보호할 수 있으며, [VPC 흐름 로그](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)를 사용하여 AWS 작업 컨테이너 내부 및 외부의 모든 네트워크 트래픽을 모니터링할 수 있습니다.
인터넷을 통해 사용자 데이터에 접근할 수 없도록 VPC를 구성하고 대신 [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)를 사용하여 VPC 인터페이스 엔드포인트를 만들어 데이터에 대한 프라이빗 연결을 설정하여 데이터를 추가로 보호할 수 있습니다.
다음은 VPC를 사용하여 데이터를 보호할 수 있는 Amazon Bedrock의 몇 가지 기능입니다.
+ 모델 사용자 지정 - [(선택 사항) VPC를 사용하여 모델 사용자 지정 작업 보호](custom-model-job-access-security.md#vpc-model-customization)
+ 배치 추론 - [VPC를 사용하여 배치 추론 작업 보호](batch-vpc.md)
+ Amazon Bedrock 지식 기반 - [인터페이스 엔드포인트(AWS PrivateLink)를 사용하여 Amazon OpenSearch Serverless에 액세스](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html)
## VPC 설정
[Amazon VPC 시작하기](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html) 및 [VPC 생성](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)의 지침에 따라 [기본 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html)를 사용하거나 새 VPC를 만들 수 있습니다.
VPC를 만들 때는 엔드포인트 라우팅 테이블에 기본 DNS 설정을 사용하여 표준 Amazon S3 URL(예: `http://s3-aws-region.amazonaws.com/training-bucket`)을 확인하는 것이 좋습니다.
다음 주제에서는 AWS PrivateLink의 도움을 받아 VPC 엔드포인트를 설정하는 방법과 VPC를 사용하여 S3 파일에 대한 액세스를 보호하는 사용 사례 예제를 보여줍니다.
**Topics**
+ [VPC 설정](#create-vpc)
+ [인터페이스 VPC 엔드포인트(AWS PrivateLink)를 사용하여 VPC와 Amazon Bedrock 간의 프라이빗 연결 생성](vpc-interface-endpoints.md)
+ [(예제) VPC를 사용하여 Amazon S3 데이터에 대한 데이터 액세스 제한](vpc-s3.md)
# 인터페이스 VPC 엔드포인트(AWS PrivateLink)를 사용하여 VPC와 Amazon Bedrock 간의 프라이빗 연결 생성
AWS PrivateLink 를 사용하여 VPC와 Amazon Bedrock 간에 프라이빗 연결을 생성할 수 있습니다. 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 Direct Connect 연결을 사용하지 않고 VPC에 있는 것처럼 Amazon Bedrock에 액세스할 수 있습니다. VPC의 인스턴스에서 Amazon Bedrock에 액세스하는 데 퍼블릭 IP 주소가 필요하지 않습니다.
AWS PrivateLink에서 제공되는 *인터페이스 엔드포인트*를 생성하여 이 프라이빗 연결을 설정합니다. 인터페이스 엔드포인트에 대해 사용 설정하는 각 서브넷에서 엔드포인트 네트워크 인터페이스를 생성합니다. 이는 Amazon Bedrock으로 향하는 트래픽의 진입점 역할을 하는 요청자 관리형 네트워크 인터페이스입니다.
자세한 내용은 *AWS PrivateLink 가이드*의를 [AWS 서비스 통한 액세스를 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) 참조하세요.
## Amazon Bedrock VPC 엔드포인트에 대한 고려 사항
Amazon Bedrock에 대한 인터페이스 엔드포인트를 설정하려면 먼저 **AWS PrivateLink 가이드의 [고려 사항](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)을 검토합니다.
Amazon Bedrock은 VPC 엔드포인트를 통한 다음 API 직접 호출을 지원합니다.
****
| 카테고리 | 엔드포인트 접미사 |
| --- | --- |
| [Amazon Bedrock 컨트롤 플레인 API 작업](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock.html) | bedrock |
| [Amazon Bedrock 런타임 API 작업](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html) | bedrock-runtime |
| Amazon Bedrock Mantle API 작업 | bedrock-mantle |
| [Amazon Bedrock Agents 빌드 타임 API 작업](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock.html) | bedrock-agent |
| [Amazon Bedrock Agents Runtime API 작업](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock_Runtime.html) | bedrock-agent-runtime |
**가용 영역**
Amazon Bedrock 및 Amazon Bedrock Agents 엔드포인트는 모든 가용 영역에서 사용할 수 있습니다.
## Amazon Bedrock용 인터페이스 엔드포인트 생성
Amazon VPC 콘솔 또는 AWS Command Line Interface ()를 사용하여 Amazon Bedrock에 대한 인터페이스 엔드포인트를 생성할 수 있습니다AWS CLI. 자세한 내용은 *AWS PrivateLink 설명서*의 [인터페이스 엔드포인트 생성](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)을 참조하세요.
다음과 같은 서비스 이름을 사용하여 Amazon Bedrock의 인터페이스 엔드포인트를 생성합니다.
+ `com.amazonaws.region.bedrock`
+ `com.amazonaws.region.bedrock-runtime`
+ `com.amazonaws.region.bedrock-mantle`
+ `com.amazonaws.region.bedrock-agent`
+ `com.amazonaws.region.bedrock-agent-runtime`
엔드포인트를 만든 다음 프라이빗 DNS 호스트 이름을 활성화할 수 있습니다. VPC 엔드포인트를 생성할 때 VPC 콘솔에서 프라이빗 DNS 이름 활성화(Enable Private DNS Name)를 선택하여 이 설정을 활성화합니다.
인터페이스 엔드포인트에 프라이빗 DNS를 사용하도록 설정하는 경우, 리전에 대한 기본 DNS 이름(예: )을 사용하여 Amazon Bedrock에 API 요청을 할 수 있습니다. 다음 예제에서는 기본 리전 DNS 이름의 형식을 보여줍니다.
+ `bedrock.region.amazonaws.com`
+ `bedrock-runtime.region.amazonaws.com`
+ `bedrock-mantle.region.api.aws`
+ `bedrock-agent.region.amazonaws.com`
+ `bedrock-agent-runtime.region.amazonaws.com`
## 엔드포인트의 엔드포인트 정책 생성
엔드포인트 정책은 인터페이스 엔드포인트에 연결할 수 있는 IAM 리소스입니다. 기본 엔드포인트 정책을 사용하면 인터페이스 엔드포인트를 통해 Amazon Bedrock에 대한 전체 액세스를 허용합니다. VPC에서 Amazon Bedrock에 허용되는 액세스를 제어하려면 사용자 지정 엔드포인트 정책을 인터페이스 엔드포인트에 연결합니다.
엔드포인트 정책은 다음 정보를 지정합니다.
+ 작업을 수행할 수 있는 위탁자(AWS 계정, IAM 사용자, IAM 역할)
+ 수행할 수 있는 작업
+ 작업을 수행할 수 있는 리소스.
자세한 내용은 *AWS PrivateLink 안내서*의 [엔드포인트 정책을 사용하여 서비스에 대한 액세스 제어](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)를 참조하세요.
**예제: Amazon Bedrock 작업에 대한 VPC 엔드포인트 정책**
다음은 사용자 지정 엔드포인트 정책의 예입니다. 이 리소스 기반 정책은 인터페이스 엔드포인트에 연결될 때 모든 리소스의 모든 위탁자에 대한 액세스 권한을 나열된 Amazon Bedrock 작업에 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource":"*"
}
]
}
```
------
**예: Amazon Bedrock Mantle 작업에 대한 VPC 엔드포인트 정책**
다음은 사용자 지정 엔드포인트 정책의 예입니다. 이 리소스 기반 정책을 인터페이스 엔드포인트에 연결하면 모든 리소스의 모든 보안 주체에 대해 나열된 Amazon Bedrock Mantle 작업에 대한 액세스 권한을 부여합니다.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock-mantle:CreateInference"
],
"Resource":"*"
}
]
}
```
# (예제) VPC를 사용하여 Amazon S3 데이터에 대한 데이터 액세스 제한
VPC를 사용하여 Amazon S3 버킷의 데이터에 대한 액세스를 제한할 수 있습니다. 추가 보안을 위해 인터넷 액세스 없이 VPC를 구성하고 AWS PrivateLink를 사용하여 엔드포인트를 만들 수 있습니다. VPC 엔드포인트 또는 S3 버킷에 리소스 기반 정책을 연결하여 액세스를 제한할 수도 있습니다.
**Topics**
+ [Amazon S3 VPC 엔드포인트 생성](#vpc-s3-create)
+ [(선택 사항) IAM 정책을 사용하여 S3 파일에 대한 액세스 제한](#vpc-policy-rbp)
## Amazon S3 VPC 엔드포인트 생성
인터넷 액세스 없이 VPC를 구성하는 경우 모델 사용자 지정 작업이 훈련 및 검증 데이터를 저장하고 모델 아티팩트를 저장하는 S3 버킷에 액세스할 수 있도록 [Amazon S3 VPC 엔드포인트](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html)를 만들어야 합니다.
[Create a gateway endpoint for Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3)의 단계에 따라 S3 VPC 엔드포인트를 만듭니다.
**참고**
VPC에 대해 기본 DNS 설정을 사용하지 않는 경우 엔드포인트 라우팅 테이블을 구성하여 훈련 작업 내 데이터 위치를 지정하는 데 사용하는 URL이 해결되는지 확인합니다. VPC 엔드포인트 라우팅 테이블에 대한 자세한 내용은 [Routing for Gateway endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing)를 참조하세요.
## (선택 사항) IAM 정책을 사용하여 S3 파일에 대한 액세스 제한
[리소스 기반 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)을 사용하여 S3 파일에 대한 액세스를 더 엄격하게 제어할 수 있습니다. 다음 유형의 리소스 기반 정책을 조합하여 사용할 수 있습니다.
+ **엔드포인트 정책** - VPC 엔드포인트에 엔드포인트 정책을 연결하여 VPC 엔드포인트를 통한 액세스를 제한할 수 있습니다. 기본 엔드포인트 정책은 VPC의 모든 사용자 또는 서비스에 Amazon S3에 대한 모든 액세스를 허용합니다. 엔드포인트를 만드는 동안 또는 만든 후, 필요한 경우 엔드포인트에 리소스 기반 정책을 연결하여 엔드포인트가 특정 버킷에 액세스하도록 허용하거나 특정 IAM 역할만 엔드포인트에 액세스하도록 허용하는 등의 제한을 추가할 수 있습니다. 예제는 [Edit the VPC endpoint policy](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#edit-vpc-endpoint-policy-s3)를 참조하세요.
다음은 VPC 엔드포인트에 연결하여 지정한 버킷에만 액세스하도록 허용할 수 있는 예제 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToTrainingBucket",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
]
}
]
}
```
------
+ **버킷 정책** - 버킷 정책을 S3 버킷에 연결하여 이에 대한 액세스를 제한할 수 있습니다. 버킷 정책을 만들려면 [버킷 정책 사용](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)의 단계를 따르세요. VPC에서 들어오는 트래픽에 대한 액세스를 제한하려면 조건 키를 사용하여 VPC 자체, VPC 엔드포인트 또는 VPC의 IP 주소를 지정할 수 있습니다. [aws:sourceVpc](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc), [aws:sourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce) 또는 [aws:VpcSourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpcsourceip) 조건 키를 사용할 수 있습니다.
다음은 VPC에서 들어오는 트래픽을 제외한 모든 트래픽을 버킷으로 거부하기 위해 S3 버킷에 연결할 수 있는 정책의 예입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToOutputBucket",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:sourceVpc": "vpc-11223344556677889"
}
}
}
]
}
```
------
더 많은 예제는 [Control access using bucket policies](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#bucket-policies-s3)를 참조하세요.