本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
您可以使用 AWS PrivateLink 在您的 VPC 和 Amazon Bedrock 之间创建私有连接。您可以像在您的 VPC 中一样访问 Amazon Bedrock,无需使用互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可访问 Amazon Bedrock。
您可以通过创建由 AWS PrivateLink提供支持的接口端点来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管式网络接口,用作发往 Amazon Bedrock 的流量的入口点。
有关更多信息,请参阅AWS PrivateLink 指南 AWS PrivateLink中的AWS 服务 通过访问。
Amazon Bedrock VPC 端点注意事项
在为 Amazon Bedrock 设置接口端点之前,请查看《AWS PrivateLink 指南》中的注意事项。
Amazon Bedrock 支持通过 VPC 端点进行以下 API 调用。
| 类别 | 端点前缀 |
|---|---|
| Amazon Bedrock 控制面板 API 操作 | bedrock |
| Amazon Bedrock 运行时 API 操作 | bedrock-runtime |
| Amazon Bedrock 代理构建时 API 操作 | bedrock-agent |
| Amazon Bedrock 代理运行时 API 操作 | bedrock-agent-runtime |
可用区
Amazon Bedrock 和 Amazon Bedrock 代理端点在多个可用区可用。
为 Amazon Bedrock 创建接口端点
您可以使用亚马逊 VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 Amazon Bedrock 创建接口终端节点。有关更多信息,请参阅《AWS PrivateLink 指南》中的创建接口端点。
使用以下任一服务名称为 Amazon Bedrock 创建接口端点:
-
com.amazonaws.region.bedrock -
com.amazonaws.region.bedrock-runtime -
com.amazonaws.region.bedrock-agent -
com.amazonaws.region.bedrock-agent-runtime
在创建端点后,您可以选择启用私有 DNS 主机名。在创建 VPC 终端节点时,通过在 VPC 控制台中选择启用私有 DNS 名称,可启用此设置。
如果为接口端点启用私有 DNS,则可以使用区域的默认 DNS 名称向 Amazon Bedrock 发出 API 请求。以下示例显示了默认区域 DNS 名称的格式。
-
bedrock.region.amazonaws.com -
bedrock-runtime.region.amazonaws.com -
bedrock-agent.region.amazonaws.com -
bedrock-agent-runtime.region.amazonaws.com
为接口端点创建端点策略
端点策略是一种 IAM 资源,您可以将其附加到接口端点。默认端点策略提供通过接口端点访问 Amazon Bedrock 的完全访问权限。要控制允许从 VPC 访问 Amazon Bedrock 的访问权限,请将自定义端点策略附加到接口端点。
端点策略指定以下信息:
-
可执行操作的主体(AWS 账户、IAM 用户和 IAM 角色)。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅《AWS PrivateLink 指南》中的使用端点策略控制对服务的访问权限。
示例:适用于 Amazon Bedrock 操作的 VPC 端点策略
以下是自定义端点策略的示例。当将该基于资源的策略附加到接口端点时,它会向所有主体授予对所有资源执行所列 Amazon Bedrock 操作的访问权限。
{
"Version": "2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource":"*"
}
]
}