기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
[선택 사항] a를 사용하여 모델 사용자 지정 작업을 보호합니다. VPC
모델 사용자 지정 작업을 실행하면 작업이 Amazon S3 버킷에 액세스하여 입력 데이터를 다운로드하고 작업 지표를 업로드합니다. 데이터에 대한 액세스를 제어하려면 Amazon에서 가상 사설 클라우드 (VPC) 를 사용하는 것이 좋습니다VPC. 인터넷을 통해 데이터를 사용할 수 VPC 없도록 구성하고 대신 다음과 같은 VPC 인터페이스 엔드포인트를 생성하여 데이터를 더욱 보호할 수 있습니다. AWS PrivateLink데이터에 대한 비공개 연결을 설정하기 위해서입니다. Amazon VPC 및 방법에 대한 자세한 내용은 AWS PrivateLink Amazon Bedrock과의 통합, 참조. VPCAmazon을 사용하여 데이터를 보호하고 AWS PrivateLink
모델 사용자 지정 작업을 VPC 위한 교육, 검증 및 출력 데이터를 구성하고 사용하려면 다음 단계를 수행하십시오.
주제
모델 사용자 지정 중에 데이터를 VPC 보호하도록 설정하십시오.
를 VPC 설정하려면 의 단계를 따르십시오설정 VPC. 의 단계에 VPC 따라 S3 VPC 엔드포인트를 설정하고 리소스 기반 IAM 정책을 사용하여 모델 사용자 지정 데이터가 포함된 S3 버킷에 대한 액세스를 제한함으로써 보안을 강화할 수 있습니다. (예) 다음을 사용하여 Amazon S3 데이터에 대한 데이터 액세스를 제한합니다. VPC
모델 VPC 사용자 지정 역할에 권한을 연결합니다.
설정을 완료한 후 모델 사용자 지정 서비스 역할에 다음 권한을 추가하여 모델 사용자 지정 서비스 역할에 액세스를 허용하십시오VPC. VPC 작업에 필요한 VPC 리소스에만 액세스할 수 있도록 이 정책을 수정하십시오. 교체하십시오.${{subnet-ids}} 그리고 security-group-id 내 값으로 입력하세요VPC.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", ], "Resource":[ "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*" ], "Condition": { "StringEquals": { "aws:RequestTag/BedrockManaged": ["true"] }, "ArnEquals": { "aws:RequestTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", ], "Resource":[ "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}", "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}", "arn:aws:ec2:${{region}}:${{account-id}}:security-group/security-group-id" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", ], "Resource": "*", "Condition": { "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}", "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}" ], "ec2:ResourceTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"] }, "StringEquals": { "ec2:ResourceTag/BedrockManaged": "true" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": [ "CreateNetworkInterface" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "BedrockManaged", "BedrockModelCustomizationJobArn" ] } } } ] }
모델 사용자 지정 작업을 제출할 때 VPC 구성을 추가하십시오.
이전 섹션에서 설명한 대로 필수 역할 및 권한을 구성한 후 이를 사용하는 모델 사용자 지정 작업을 생성할 수 VPC 있습니다. VPC
작업에 VPC 서브넷과 보안 그룹을 지정하면 Amazon Bedrock은 서브넷 중 하나에 있는 보안 그룹과 연결된 엘라스틱 네트워크 인터페이스 (ENIs) 를 생성합니다. ENIsAmazon Bedrock 작업이 사용자의 리소스에 연결되도록 허용합니다. VPC 에 대한 ENIs 자세한 내용은 Amazon VPC 사용 설명서의 엘라스틱 네트워크 인터페이스를 참조하십시오. Amazon Bedrock 태그를 ENIs BedrockManaged 생성하여 BedrockModelCusomizationJobArn 태그를 지정합니다.
각각의 가용 영역에서 하나 이상의 서브넷을 제공하는 것이 좋습니다.
보안 그룹을 사용하여 Amazon Bedrock의 리소스 액세스를 제어하기 위한 규칙을 설정할 수 있습니다. VPC
콘솔에서 사용하거나 VPC 를 통해 사용하도록 구성할 수 있습니다. API 선택한 방법에 해당하는 탭을 선택하고 단계를 따르세요.
