[Opcional] Proteja seus trabalhos de personalização de modelos usando um VPC - Amazon Bedrock
Configure VPC para proteger seus dados durante a personalização do modeloAnexar VPC permissões a uma função de personalização do modeloAdicione a VPC configuração ao enviar um trabalho de personalização do modelo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

[Opcional] Proteja seus trabalhos de personalização de modelos usando um VPC

Quando você executa um trabalho de personalização do modelo, o trabalho acessa seu bucket do Amazon S3 para baixar os dados de entrada e fazer o upload das métricas do trabalho. Para controlar o acesso aos seus dados, recomendamos que você use uma nuvem privada virtual (VPC) com a Amazon VPC. Você pode proteger ainda mais seus dados configurando-os VPC para que eles não estejam disponíveis na Internet e, em vez disso, criando um endpoint de VPC interface AWS PrivateLinkpara estabelecer uma conexão privada com seus dados. Para obter mais informações sobre como a Amazon VPC AWS PrivateLink se integra com o Amazon Bedrock, consulteProteja seus dados usando a Amazon VPC e AWS PrivateLink.

Execute as etapas a seguir para configurar e usar a VPC para os dados de treinamento, validação e saída de seus trabalhos de personalização do modelo.

Configure VPC para proteger seus dados durante a personalização do modelo

Para configurar umVPC, siga as etapas emConfigurar um VPC. Você pode protegê-lo ainda mais VPC configurando um VPC endpoint do S3 e usando IAM políticas baseadas em recursos para restringir o acesso ao bucket do S3 contendo os dados de personalização do seu modelo, seguindo as etapas em. (Exemplo) Restrinja o acesso aos dados do Amazon S3 usando VPC

Anexar VPC permissões a uma função de personalização do modelo

Depois de concluir a configuração do seuVPC, anexe as seguintes permissões à sua função de serviço de personalização de modelo para permitir que ela acesse o. VPC Modifique essa política para permitir o acesso somente aos VPC recursos de que seu trabalho precisa. Substitua o ${{subnet-ids}} e security-group-id com os valores do seuVPC.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
            ],
            "Resource":[
               "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*"
            ],
            "Condition": {
               "StringEquals": { 
                   "aws:RequestTag/BedrockManaged": ["true"]
                },
                "ArnEquals": {
                   "aws:RequestTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"]
               }
            }
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
            ],
            "Resource":[
               "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
               "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}",
               "arn:aws:ec2:${{region}}:${{account-id}}:security-group/security-group-id"
            ]
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
            ],
            "Resource": "*",
            "Condition": {
               "ArnEquals": {
                   "ec2:Subnet": [
                       "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
                       "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}"
                   ],
                   "ec2:ResourceTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"]
               },
               "StringEquals": { 
                   "ec2:ResourceTag/BedrockManaged": "true"
               }
            }
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]    
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelCustomizationJobArn"
                    ]
                }
            }
        }
    ]
}

Adicione a VPC configuração ao enviar um trabalho de personalização do modelo

Depois de configurar as funções VPC e permissões necessárias, conforme descrito nas seções anteriores, você pode criar um trabalho de personalização de modelo que use issoVPC.

Quando você especifica as VPC sub-redes e os grupos de segurança para um trabalho, o Amazon Bedrock cria interfaces de rede elásticas (ENIs) associadas aos seus grupos de segurança em uma das sub-redes. ENIspermita que o trabalho do Amazon Bedrock se conecte aos recursos em seuVPC. Para obter informações sobre issoENIs, consulte Elastic Network Interfaces no Amazon VPC User Guide. Etiquetas Amazon Bedrock ENIs que ele cria com BedrockManaged e BedrockModelCusomizationJobArn etiquetas.

Recomendamos que você forneça pelo menos uma sub-rede em cada zona de disponibilidade.

Você pode usar grupos de segurança para estabelecer regras para controlar o acesso do Amazon Bedrock aos seus VPC recursos.

Você pode configurar o VPC para usar no console ou por meio doAPI. Selecione a guia correspondente ao seu método de escolha e siga as etapas:

Console

Para o console Amazon Bedrock, você especifica VPC sub-redes e grupos de segurança na seção de VPCconfigurações opcionais ao criar o trabalho de personalização do modelo. Para obter mais informações sobre a configuração de trabalhos, consulteEnvie um trabalho de personalização de modelos.

nota

Para um trabalho que inclui VPC configuração, o console não pode criar automaticamente uma função de serviço para você. Siga as orientações em Crie uma função de serviço para personalização do modelo para criar um papel personalizado.

API

Ao enviar uma CreateModelCustomizationJobsolicitação, você pode incluir um VpcConfig como parâmetro de solicitação para especificar as VPC sub-redes e os grupos de segurança a serem usados, como no exemplo a seguir.

"vpcConfig": { 
    "securityGroupIds": [
        "${{sg-0123456789abcdef0}}"
    ],
    "subnets": [
        "${{subnet-0123456789abcdef0}}",
        "${{subnet-0123456789abcdef1}}",
        "${{subnet-0123456789abcdef2}}"
    ]
}