本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
当您运行批量推理作业时,该作业会访问您的 Amazon S3 存储桶以下载输入数据并写入输出数据。要控制对数据的访问,我们建议您使用通过 Amazon VPC 创建的虚拟私有云(VPC)。您可以对 VPC 进行配置,确保数据无法通过互联网访问,然后使用 AWS PrivateLink 创建 VPC 接口端点以建立与数据的私有连接,从而进一步保护您的数据。有关 Amazon VPC 和如何与 Amazon Bedrock AWS PrivateLink 集成的更多信息,请参阅使用 Amazon VPC 保护您的数据以及 AWS PrivateLink。
按照以下步骤配置和使用 VPC,以便保护批量推理作业的输入提示和输出模型响应。
设置 VPC 以在批量推理过程中保护您的数据
要设置 VPC,请按照设置 VPC中的步骤操作。您可以按照(示例)使用 VPC 限制对 Amazon S3 数据的访问中的步骤设置 S3 VPC 端点,并使用基于资源的 IAM 策略来限制对包含批量推理数据的 S3 存储桶的访问,从而进一步保护您的 VPC。
将 VPC 权限附加到批量推理角色
完成 VPC 设置后,将以下权限附加到您的批量推理服务角色,以便允许其访问该 VPC。修改此策略,以仅允许访问作业所需的 VPC 资源。将subnet-ids和security-group-id替换为您的 VPC 中的值。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "2",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
"arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
"arn:aws:ec2:${{region}}:${{account-id}}:security-group/${{security-group-id}}"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/BedrockManaged": ["true"]
},
"ArnEquals": {
"aws:RequestTag/BedrockModelInvocationJobArn":
["arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"]
}
}
},
{
"Sid": "3",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"ec2:Subnet": [
"arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}"
]
},
"ArnEquals": {
"ec2:ResourceTag/BedrockModelInvocationJobArn": [
"arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"
]
}
}
},
{
"Sid": "4",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": [
"CreateNetworkInterface"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"BedrockManaged",
"BedrockModelInvocationJobArn"
]
}
}
}
]
}在提交批量推理作业时添加 VPC 配置
按照前几节所述配置 VPC 以及所需的角色和权限后,您可以创建使用此 VPC 的批量推理作业。
注意
目前,在创建批量推理作业时,您只能通过 API 使用 VPC。
当您为任务指定 VPC 子网和安全组时,Amazon Bedrock 会在其中一个子网中创建与您的安全组关联的弹性网络接口 (ENIs)。 ENIs 允许 Amazon Bedrock 任务连接到您的 VPC 中的资源。有关信息 ENIs,请参阅 Amazon VPC 用户指南中的弹性网络接口。它创建的 Amazon Bedrock 标签 ENIs BedrockManaged和BedrockModelInvocationJobArn标签。
我们建议您至少在每个可用区中提供一个子网。
您可以使用安全组来制定规则,以控制 Amazon Bedrock 对您的 VPC 资源的访问。
您可以在控制台或通过 API 配置要使用的 VPC。选择您首选方法的选项卡,然后按照以下步骤操作:
对于 Amazon Bedrock 控制台,您可以在提交批量推理作业时在可选的 VPC 设置部分指定 VPC 子网和安全组。
注意
对于包含 VPC 配置的作业,控制台无法自动为您创建服务角色。请按照为批量推理创建自定义服务角色中的指南来创建自定义角色。
