设置VPC为在批量推理期间保护您的数据为批量推理VPC角色授予权限提交批量推理作业时添加VPC配置

使用保护批量推理作业 VPC

当您运行批量推理任务时，该任务会访问您的 Amazon S3 存储桶来下载输入数据并写入输出数据。要控制对数据的访问，我们建议您在 Amazon 上使用虚拟私有云 (VPC) VPC。您可以通过配置您的数据来进一步保护您的数据，VPC使其无法通过 Internet 访问您的数据，而是使用创建一个VPC接口端点AWS PrivateLink来建立与您的数据的私有连接。有关亚马逊VPC和如何与 Amazon Bedrock AWS PrivateLink 集成的更多信息，请参阅使用 Amazon VPC 保护您的数据 AWS PrivateLink。

执行以下步骤，VPC为批量推理作业配置和使用输入提示和输出模型响应。

设置VPC为在批量推理期间保护您的数据

要设置VPC，请按照中的步骤操作设置一个 VPC。您可以VPC按照中的步骤设置 S3 VPC 终端节点并使用基于资源的IAM策略来限制对包含批量推理数据的 S3 存储桶的访问权限，从而进一步保护您的安全。（示例）使用以下方法限制对您的 Amazon S3 数据的数据访问 VPC

为批量推理VPC角色授予权限

完成设置后VPC，将以下权限附加到您的批处理推理服务角色以允许其访问。VPC修改此策略以仅允许访问您的工作所需的VPC资源。更换 subnet-ids 以及 security-group-id 用你的价值观VPC。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
                "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
                "arn:aws:ec2:${{region}}:${{account-id}}:security-group/${{security-group-id}}"
            ],
            "Condition": {
               "StringEquals": { 
                   "aws:RequestTag/BedrockManaged": ["true"]
                },
                "ArnEquals": {
                   "aws:RequestTag/BedrockModelInvocationJobArn": 
                   ["arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"]
               }
            }
        },
        {
            "Sid": "3",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:Subnet": [
                        "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}"
                    ]
                },
                "ArnEquals": {
                    "ec2:ResourceTag/BedrockModelInvocationJobArn": [
                        "arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "4",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]    
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelInvocationJobArn"
                    ]
                }
             }
        }
    ]
}

提交批量推理作业时添加VPC配置

按照前几节所述配置了VPC和必需的角色和权限后，您可以创建使用该VPC角色和权限的批量推理作业。

注意

当前，在创建批量推理作业时，只能使用 throug VPC h。API

当您为任务指定VPC子网和安全组时，Amazon Bedrock 会在其中一个子网中创建与您的安全组关联的弹性网络接口 (ENIs)。ENIs允许 Amazon Bedrock 任务连接到您VPC中的资源。有关信息ENIs，请参阅 Amazon VPC 用户指南中的弹性网络接口。它创建的 Amazon Bedrock 标签ENIsBedrockManaged和BedrockModelInvocationJobArn标签。

我们建议您至少在每个可用区中提供一个子网。

您可以使用安全组来制定控制您VPC资源的 Amazon Bedrock 访问权限的规则。

您可以将配置VPC为在控制台中使用，也可以通过使用API。选择与您选择的方法相对应的选项卡，然后按照以下步骤操作：

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

设置数据

创建作业