As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Proteja os dados usando a Amazon VPC e o AWS PrivateLink
Para controlar o acesso aos dados, é recomendável usar uma nuvem privada virtual (VPC) com a [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html). O uso de uma VPC protege os dados e permite monitorar todo tráfego de rede dentro e fora dos contêineres de trabalho da AWS usando [logs de fluxo da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html).
É possível proteger ainda mais os dados configurando a VPC para que os dados não fiquem disponíveis pela internet e, em vez disso, criar um endpoint da VPC de interface com [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) para estabelecer uma conexão privada com os dados.
Veja abaixo alguns recursos do Amazon Bedrock nos quais você pode usar a VPC para proteger os dados:
+ Personalização do modelo: [(Opcional) Proteger trabalhos de personalização de modelos usando uma VPC](custom-model-job-access-security.md#vpc-model-customization)
+ Inferência em lote: [Proteger trabalhos de inferência em lote usando uma VPC](batch-vpc.md)
+ Bases de Conhecimento do Amazon Bedrock: [acesse o Amazon OpenSearch Sem Servidor usando um endpoint de interface endpoint (AWS PrivateLink)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html)
## Configurar uma VPC
É possível usar uma [VPC padrão](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html) ou criar uma VPC seguindo as orientações em [Get started with Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html) e [Crie uma VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html).
Ao criar a VPC, é recomendável usar as configurações padrão do DNS para a tabela de rotas de endpoint, para que os URLs padrão do Amazon S3 (por exemplo, `http://s3-aws-region.amazonaws.com/training-bucket`) sejam resolvidos.
Os tópicos a seguir mostram como configurar o endpoint da VPC com a ajuda do AWS PrivateLink e um exemplo de caso de uso para usar a VPC para proteger o acesso aos arquivos do S3.
**Topics**
+ [Configurar uma VPC](#create-vpc)
+ [É possível usar endpoints da VPC (AWS PrivateLink) de interface para criar uma conexão privada entre a VPC e o Amazon Bedrock.](vpc-interface-endpoints.md)
+ [(Exemplo) Restringir o acesso aos dados do Amazon S3 usando a VPC](vpc-s3.md)
# É possível usar endpoints da VPC (AWS PrivateLink) de interface para criar uma conexão privada entre a VPC e o Amazon Bedrock.
Você pode usar AWS PrivateLink para criar uma conexão privada entre sua VPC e o Amazon Bedrock. Você pode acessar o Amazon Bedrock como se estivesse em sua VPC, sem o uso de um gateway de internet, dispositivo NAT, conexão VPN ou conexão. Direct Connect As instâncias na VPC não precisam de endereços IP públicos para acessar o Amazon Bedrock.
Estabeleça essa conectividade privada criando um *endpoint de interface*, habilitado pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Essas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao Amazon Bedrock.
Para obter mais informações, consulte [Acesso Serviços da AWS por meio AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) do *AWS PrivateLink Guia*.
## Considerações sobre endpoints da Amazon VPC do Amazon Bedrock
Antes de configurar um endpoint de interface para o Amazon Bedrock, analise as [Considerações](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) no *Guia do AWS PrivateLink *.
O Amazon Bedrock oferece suporte às seguintes chamadas de API por meio de endpoints da VPC.
****
| Categoria | Sufixo do endpoint |
| --- | --- |
| [Ações de API do ambiente de gerenciamento do Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock.html) | bedrock |
| [Ações de API de runtime do Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html) | bedrock-runtime |
| Ações da API Amazon Bedrock Mantle | bedrock-mantle |
| [Ações de API de tempo de compilação do Amazon Bedrock Agents](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock.html) | bedrock-agent |
| [Ações de API de runtime do Amazon Bedrock Agents](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock_Runtime.html) | bedrock-agent-runtime |
**Zonas de disponibilidade**
Os endpoints do Amazon Bedrock e do Amazon Bedrock Agents estão disponíveis em várias zonas de disponibilidade.
## Criar um endpoint de interface para o Amazon Bedrock
Você pode criar um endpoint de interface para o Amazon Bedrock usando o console Amazon VPC ou o (). AWS Command Line Interface AWS CLI Para obter mais informações, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) no *Guia do usuário do AWS PrivateLink *.
Crie um endpoint de interface para o Amazon Bedrock usando qualquer um dos seguintes nomes de serviço:
+ `com.amazonaws.region.bedrock`
+ `com.amazonaws.region.bedrock-runtime`
+ `com.amazonaws.region.bedrock-mantle`
+ `com.amazonaws.region.bedrock-agent`
+ `com.amazonaws.region.bedrock-agent-runtime`
Após criar o endpoint, você tem a opção de habilitar um nome de host DNS privado. Habilite essa configuração selecionando “Habilitar nome de DNS privado” no console da VPC ao criar o endpoint da VPC.
Se você habilitar o DNS privado para o endpoint de interface, poderá fazer solicitações de API ao Amazon Bedrock usando seu nome DNS regional padrão. Os exemplos a seguir mostram o formato dos nomes de DNS regionais padrão.
+ `bedrock.region.amazonaws.com`
+ `bedrock-runtime.region.amazonaws.com`
+ `bedrock-mantle.region.api.aws`
+ `bedrock-agent.region.amazonaws.com`
+ `bedrock-agent-runtime.region.amazonaws.com`
## Criar uma política de endpoint para o endpoint de interface
Uma política de endpoint é um recurso do IAM que você pode anexar ao endpoint de interface. A política de endpoint padrão permite acesso total ao Amazon Bedrock por meio de endpoint de interface. Para controlar o acesso permitido ao Amazon Bedrock pela VPC, anexe uma política de endpoint personalizada ao endpoint de interface.
Uma política de endpoint especifica as seguintes informações:
+ As entidades principais que podem realizar ações (Contas da AWS, usuários do IAM e perfis do IAM).
+ As ações que podem ser realizadas.
+ Os recursos nos quais as ações podem ser executadas.
Para obter mais informações, consulte [Controlar o acesso aos serviços usando políticas de endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia do AWS PrivateLink *.
**Exemplo: política de endpoint da VPC para ações do Amazon Bedrock**
Veja a seguir um exemplo de uma política de endpoint personalizado. Quando essa política baseada em recurso é anexada ao endpoint de interface, ela concede acesso às ações do Amazon Bedrock listadas a todas as entidades principais em todos os recursos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource":"*"
}
]
}
```
------
**Exemplo: política de VPC endpoint para ações do Amazon Bedrock Mantle**
Veja a seguir um exemplo de uma política de endpoint personalizado. Quando você anexa essa política baseada em recursos ao seu endpoint de interface, ela concede acesso às ações listadas do Amazon Bedrock Mantle para todos os diretores de todos os recursos.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock-mantle:CreateInference"
],
"Resource":"*"
}
]
}
```
# (Exemplo) Restringir o acesso aos dados do Amazon S3 usando a VPC
É possível usar uma VPC para restringir o acesso aos dados nos buckets do Amazon S3. Para obter mais segurança, é possível configurar a VPC sem acesso à internet e criar um endpoint para ela com o AWS PrivateLink. Você também pode restringir o acesso anexando políticas baseadas em recurso ao endpoint da VPC ou ao bucket do S3.
**Topics**
+ [Criar um endpoint da VPC para o Amazon S3](#vpc-s3-create)
+ [(Opcional) Usar as políticas do IAM para restringir o acesso aos arquivos do S3](#vpc-policy-rbp)
## Criar um endpoint da VPC para o Amazon S3
Se você configurar a VPC sem acesso à internet, será necessário criar um [endpoint da VPC do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html) para permitir que as tarefas de personalização de modelos acessem os buckets do S3 que armazenam os dados de treinamento e de validação e que armazenarão os artefatos do modelo.
Crie o endpoint da VPC do S3 seguindo as etapas em [Gateway endpoints for Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3).
**nota**
Se você não usar as configurações de DNS padrão para sua VPC, precisará garantir que URLs as localizações dos dados em seus trabalhos de treinamento sejam resolvidas configurando as tabelas de rotas do endpoint. Para obter informações sobre as tabelas de rotas do endpoint da VPC, consulte [Roteamento para endpoints do gateway](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing).
## (Opcional) Usar as políticas do IAM para restringir o acesso aos arquivos do S3
É possível usar [políticas baseadas em recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) para controlar mais rigorosamente o acesso aos arquivos do S3. É possível usar qualquer combinação dos tipos de política baseada em recurso a seguir.
+ **Políticas de endpoint**: é possível anexar políticas de endpoint ao endpoint da VPC para restringir o acesso por meio do endpoint da VPC. A política de endpoint padrão permite acesso total ao Amazon S3 para qualquer usuário ou serviço em sua VPC. Ao criar ou depois de criar o endpoint, é possível, opcionalmente, anexar uma política baseada em recurso ao endpoint para adicionar restrições, como permitir que apenas o endpoint acesse um bucket específico ou permitir que apenas um perfil específico do IAM acesse o endpoint. Para obter exemplos, consulte [Editar a política de endpoint da VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#edit-vpc-endpoint-policy-s3).
Veja a seguir um exemplo de política que você pode anexar ao endpoint da VPC para permitir que ele acesse somente o bucket especificado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToTrainingBucket",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
]
}
]
}
```
------
+ **Políticas de bucket**: é possível anexar uma política de bucket a um bucket do S3 para restringir o acesso a ele. Para criar uma política de bucket, siga as etapas em [Usar políticas de bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html). Para restringir o acesso ao tráfego proveniente da VPC, é possível usar chaves de condição para especificar a própria VPC, um endpoint da VPC ou o endereço IP da VPC. [Você pode usar as chaves de condição [aws:sourceVpc, [aws:sourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc) ou aws:. VpcSourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpcsourceip)
Veja a seguir um exemplo de política que você pode anexar a um bucket do S3 para negar todo tráfego para o bucket, a menos que ele seja proveniente da sua VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToOutputBucket",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:sourceVpc": "vpc-11223344556677889"
}
}
}
]
}
```
------
Para obter mais exemplos, consulte [Controlar o acesso usando políticas de bucket](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#bucket-policies-s3).