Proteja trabalhos de inferência em lote usando um VPC - Amazon Bedrock
Configure VPC para proteger seus dados durante a inferência em loteAnexar VPC permissões a uma função de inferência em loteAdicione a VPC configuração ao enviar um trabalho de inferência em lote

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteja trabalhos de inferência em lote usando um VPC

Quando você executa um trabalho de inferência em lote, o trabalho acessa seu bucket do Amazon S3 para baixar os dados de entrada e gravar os dados de saída. Para controlar o acesso aos seus dados, recomendamos que você use uma nuvem privada virtual (VPC) com a Amazon VPC. Você pode proteger ainda mais seus dados configurando-os VPC para que eles não estejam disponíveis na Internet e, em vez disso, criando um endpoint de VPC interface AWS PrivateLinkpara estabelecer uma conexão privada com seus dados. Para obter mais informações sobre como a Amazon VPC AWS PrivateLink se integra com o Amazon Bedrock, consulteProteja seus dados usando a Amazon VPC e AWS PrivateLink.

Execute as etapas a seguir para configurar e usar a VPC para os prompts de entrada e respostas do modelo de saída para seus trabalhos de inferência em lote.

Configure VPC para proteger seus dados durante a inferência em lote

Para configurar umVPC, siga as etapas emConfigurar um VPC. Você pode protegê-lo ainda mais VPC configurando um VPC endpoint do S3 e usando IAM políticas baseadas em recursos para restringir o acesso ao bucket do S3 que contém seus dados de inferência em lote, seguindo as etapas em. (Exemplo) Restrinja o acesso aos dados do Amazon S3 usando VPC

Anexar VPC permissões a uma função de inferência em lote

Depois de concluir a configuração do seuVPC, anexe as seguintes permissões à sua função de serviço de inferência em lote para permitir que ela acesse o. VPC Modifique essa política para permitir o acesso somente aos VPC recursos de que seu trabalho precisa. Substitua o subnet-ids e security-group-id com os valores do seuVPC.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
                "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
                "arn:aws:ec2:${{region}}:${{account-id}}:security-group/${{security-group-id}}"
            ],
            "Condition": {
               "StringEquals": { 
                   "aws:RequestTag/BedrockManaged": ["true"]
                },
                "ArnEquals": {
                   "aws:RequestTag/BedrockModelInvocationJobArn": 
                   ["arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"]
               }
            }
        },
        {
            "Sid": "3",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:Subnet": [
                        "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}"
                    ]
                },
                "ArnEquals": {
                    "ec2:ResourceTag/BedrockModelInvocationJobArn": [
                        "arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "4",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]    
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelInvocationJobArn"
                    ]
                }
             }
        }
    ]
}

Adicione a VPC configuração ao enviar um trabalho de inferência em lote

Depois de configurar as funções VPC e permissões necessárias, conforme descrito nas seções anteriores, você pode criar um trabalho de inferência em lote que use issoVPC.

nota

Atualmente, ao criar um trabalho de inferência em lote, você só pode usar a por VPC meio doAPI.

Quando você especifica as VPC sub-redes e os grupos de segurança para um trabalho, o Amazon Bedrock cria interfaces de rede elásticas (ENIs) associadas aos seus grupos de segurança em uma das sub-redes. ENIspermita que o trabalho do Amazon Bedrock se conecte aos recursos em seuVPC. Para obter informações sobre issoENIs, consulte Elastic Network Interfaces no Amazon VPC User Guide. Etiquetas Amazon Bedrock ENIs que ele cria com BedrockManaged e BedrockModelInvocationJobArn etiquetas.

Recomendamos que você forneça pelo menos uma sub-rede em cada zona de disponibilidade.

Você pode usar grupos de segurança para estabelecer regras para controlar o acesso do Amazon Bedrock aos seus VPC recursos.

Você pode configurar o VPC para usar no console ou por meio doAPI. Selecione a guia correspondente ao seu método de escolha e siga as etapas:

Console

Para o console Amazon Bedrock, você especifica VPC sub-redes e grupos de segurança na seção de VPCconfigurações opcionais ao enviar o trabalho de inferência em lote.

nota

Para um trabalho que inclui VPC configuração, o console não pode criar automaticamente uma função de serviço para você. Siga as orientações em Crie uma função de serviço para inferência em lote para criar um papel personalizado.

API

Ao enviar uma CreateModelInvocationJobsolicitação, você pode incluir um VpcConfig como parâmetro de solicitação para especificar as VPC sub-redes e os grupos de segurança a serem usados, como no exemplo a seguir.

"vpcConfig": { 
    "securityGroupIds": [
        "sg-0123456789abcdef0"
    ],
    "subnets": [
        "subnet-0123456789abcdef0",
        "subnet-0123456789abcdef1",
        "subnet-0123456789abcdef2"
    ]
}