设置VPC为在批量推理期间保护您的数据为批量推理VPC角色授予权限提交批量推理作业时添加VPC配置

使用保护批量推理作业 VPC

当您运行批量推理作业时，该作业会访问您的 Amazon S3 存储桶以下载输入数据并写入输出数据。要控制对数据的访问，我们建议您在 Amazon 上使用虚拟私有云 (VPC) VPC。您可以通过配置您的数据来进一步保护您的数据，VPC使其无法通过 Internet 访问您的数据，而是使用创建一个VPC接口端点AWS PrivateLink来建立与您的数据的私有连接。有关亚马逊VPC和如何与 Amazon Bedrock AWS PrivateLink 集成的更多信息，请参阅使用 Amazon VPC 和 AWS PrivateLink 保护您的数据。

执行以下步骤，VPC为批量推理作业配置和使用输入提示和输出模型响应。

设置VPC为在批量推理期间保护您的数据

要设置VPC，请按照中的步骤操作设置 VPC。您可以VPC按照中的步骤设置 S3 VPC 终端节点并使用基于资源的IAM策略来限制对包含批量推理数据的 S3 存储桶的访问权限，从而进一步保护您的安全。（示例）使用 VPC 限制对 Amazon S3 数据的访问

为批量推理VPC角色授予权限

完成设置后VPC，将以下权限附加到您的批处理推理服务角色以允许其访问。VPC修改此策略以仅允许访问您的工作所需的VPC资源。将subnet-ids和security-group-id替换为您的值VPC。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
                "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
                "arn:aws:ec2:${{region}}:${{account-id}}:security-group/${{security-group-id}}"
            ],
            "Condition": {
               "StringEquals": { 
                   "aws:RequestTag/BedrockManaged": ["true"]
                },
                "ArnEquals": {
                   "aws:RequestTag/BedrockModelInvocationJobArn": 
                   ["arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"]
               }
            }
        },
        {
            "Sid": "3",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:Subnet": [
                        "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}"
                    ]
                },
                "ArnEquals": {
                    "ec2:ResourceTag/BedrockModelInvocationJobArn": [
                        "arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "4",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]    
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelInvocationJobArn"
                    ]
                }
             }
        }
    ]
}

提交批量推理作业时添加VPC配置

按照前几节所述配置了VPC和必需的角色和权限后，您可以创建使用该VPC角色和权限的批量推理作业。

注意

目前，在创建批量推理作业时，只能使用VPC直通的。API

当您为任务指定VPC子网和安全组时，Amazon Bedrock 会在其中一个子网中创建与您的安全组关联的弹性网络接口 (ENIs)。 ENIs允许 Amazon Bedrock 任务连接到您VPC中的资源。有关信息ENIs，请参阅 Amazon VPC 用户指南中的弹性网络接口。它创建的 Amazon Bedrock 标签ENIsBedrockManaged和BedrockModelInvocationJobArn标签。

我们建议您至少在每个可用区中提供一个子网。

您可以使用安全组来制定控制您VPC资源的 Amazon Bedrock 访问权限的规则。

您可以将配置VPC为在控制台中使用，也可以通过使用API。选择您首选方法的选项卡，然后按照以下步骤操作：

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

权限

创建作业