[선택 사항] 를 사용하여 모델 사용자 지정 작업 보호 VPC - Amazon Bedrock

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

[선택 사항] 를 사용하여 모델 사용자 지정 작업 보호 VPC

모델 사용자 지정 작업을 실행하면 작업이 Amazon S3 버킷에 액세스하여 입력 데이터를 다운로드하고 작업 지표를 업로드합니다. 데이터에 대한 액세스를 제어하려면 Amazon VPC에서 가상 프라이빗 클라우드(VPC)를 사용하는 것이 좋습니다. 인터넷을 통해 데이터를 사용할 수 VPC 없도록 를 구성하고 대신 를 사용하여 VPC 데이터에 대한 프라이빗 연결을 설정AWS PrivateLink하여 데이터를 추가로 보호할 수 있습니다. Amazon VPC 및 가 Amazon Bedrock과 AWS PrivateLink 통합되는 방법에 대한 자세한 내용은 섹션을 참조하세요Amazon VPC 및 를 사용하여 데이터 보호 AWS PrivateLink.

다음 단계를 수행하여 모델 사용자 지정 작업에 VPC 대한 훈련, 검증 및 출력 데이터에 대해 를 구성하고 사용합니다.

모델 사용자 지정 중에 데이터를 보호VPC하도록 설정

를 설정하려면 의 단계를 VPC따릅니다설정 VPC. S3 VPC 엔드포인트를 VPC 설정하고 리소스 기반 IAM 정책을 사용하여 의 단계에 따라 모델 사용자 지정 데이터가 포함된 S3 버킷에 대한 액세스를 제한하여 를 추가로 보호할 수 있습니다(예) 다음을 사용하여 Amazon S3 데이터에 대한 데이터 액세스를 제한합니다. VPC .

모델 사용자 지정 역할에 VPC 권한 연결

설정을 완료한 후 모델 사용자 지정 서비스 역할에 다음 권한을 VPC연결하여 에 액세스할 수 있도록 합니다VPC. 작업에 필요한 VPC 리소스에만 액세스할 수 있도록 이 정책을 수정합니다. 교체 ${{subnet-ids}} 그리고 security-group-id 의 값을 사용합니다VPC.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", ], "Resource":[ "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*" ], "Condition": { "StringEquals": { "aws:RequestTag/BedrockManaged": ["true"] }, "ArnEquals": { "aws:RequestTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", ], "Resource":[ "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}", "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}", "arn:aws:ec2:${{region}}:${{account-id}}:security-group/security-group-id" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", ], "Resource": "*", "Condition": { "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}", "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}" ], "ec2:ResourceTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"] }, "StringEquals": { "ec2:ResourceTag/BedrockManaged": "true" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": [ "CreateNetworkInterface" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "BedrockManaged", "BedrockModelCustomizationJobArn" ] } } } ] }

모델 사용자 지정 작업을 제출할 때 VPC 구성 추가

이전 섹션에 설명된 대로 VPC 및 필수 역할 및 권한을 구성한 후 이 를 사용하는 모델 사용자 지정 작업을 생성할 수 있습니다VPC.

작업에 대한 VPC 서브넷 및 보안 그룹을 지정하면 Amazon Bedrock은 서브넷 중 하나에서 보안 그룹과 연결된 탄력적 네트워크 인터페이스(ENIs)를 생성합니다. ENIs Amazon Bedrock 작업이 의 리소스에 연결되도록 허용합니다VPC. 에 대한 자세한 내용은 Amazon VPC 사용 설명서의 탄력적 네트워크 인터페이스를 ENIs참조하세요. https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html BedrockManaged 및 태그로 생성하는 Amazon Bedrock BedrockModelCusomizationJobArn 태그ENIs입니다.

각각의 가용 영역에서 하나 이상의 서브넷을 제공하는 것이 좋습니다.

보안 그룹을 사용하여 VPC 리소스에 대한 Amazon Bedrock 액세스를 제어하는 규칙을 설정할 수 있습니다.

콘솔에서 또는 를 통해 VPC 를 사용하도록 구성할 수 있습니다API. 선택한 메서드에 해당하는 탭을 선택하고 다음 단계를 따릅니다.

Console

Amazon Bedrock 콘솔의 경우 모델 사용자 지정 작업을 생성할 때 선택적 VPC 설정 섹션에서 VPC 서브넷 및 보안 그룹을 지정합니다. 작업 구성에 대한 자세한 내용은 섹션을 참조하세요모델 사용자 지정 작업 제출.

참고

VPC 구성이 포함된 작업의 경우 콘솔에서 자동으로 서비스 역할을 생성할 수 없습니다. 의 지침에 따라 사용자 지정 역할을 모델 사용자 지정을 위한 서비스 역할 생성 생성합니다.

API

CreateModelCustomizationJob 요청을 제출할 때 다음 예제와 같이 를 요청 파라미터VpcConfig로 포함하여 사용할 VPC 서브넷 및 보안 그룹을 지정할 수 있습니다.

"vpcConfig": { "securityGroupIds": [ "${{sg-0123456789abcdef0}}" ], "subnets": [ "${{subnet-0123456789abcdef0}}", "${{subnet-0123456789abcdef1}}", "${{subnet-0123456789abcdef2}}" ] }