本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用接口 VPC 端点(AWS PrivateLink)在 VPC 和 Amazon Bedrock 之间创建私有连接
您可以使用 AWS PrivateLink 在您的 VPC 和 Amazon Bedrock 之间创建私有连接。您可以像在您的 VPC 中一样访问 Amazon Bedrock,无需使用互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可访问 Amazon Bedrock。
您可以通过创建由 AWS PrivateLink提供支持的*接口端点*来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管式网络接口,用作发往 Amazon Bedrock 的流量的入口点。
有关更多信息,请参阅*AWS PrivateLink 指南 AWS PrivateLink*中的[AWS 服务 通过访问](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)。
## Amazon Bedrock VPC 端点注意事项
在为 Amazon Bedrock 设置接口端点之前,请查看《AWS PrivateLink 指南》中的[注意事项](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)**。
Amazon Bedrock 支持通过 VPC 端点进行以下 API 调用。
****
| 类别 | 端点后缀 |
| --- | --- |
| [Amazon Bedrock 控制面板 API 操作](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock.html) | bedrock |
| [Amazon Bedrock 运行时 API 操作](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html) | bedrock-runtime |
| 亚马逊 Bedrock Mantle API 操作 | bedrock-mantle |
| [Amazon Bedrock 代理构建时 API 操作](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock.html) | bedrock-agent |
| [Amazon Bedrock 代理运行时 API 操作](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock_Runtime.html) | bedrock-agent-runtime |
**可用区**
Amazon Bedrock 和 Amazon Bedrock 代理端点在多个可用区可用。
## 为 Amazon Bedrock 创建接口端点
您可以使用亚马逊 VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 Amazon Bedrock 创建接口终端节点。有关更多信息,请参阅《AWS PrivateLink 指南》**中的[创建接口端点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。
使用以下任一服务名称为 Amazon Bedrock 创建接口端点:
+ `com.amazonaws.region.bedrock`
+ `com.amazonaws.region.bedrock-runtime`
+ `com.amazonaws.region.bedrock-mantle`
+ `com.amazonaws.region.bedrock-agent`
+ `com.amazonaws.region.bedrock-agent-runtime`
在创建端点后,您可以选择启用私有 DNS 主机名。在创建 VPC 端点时,通过在 VPC 控制台中选择启用私有 DNS 名称,可启用此设置。
如果为接口端点启用私有 DNS,则可以使用区域的默认 DNS 名称向 Amazon Bedrock 发出 API 请求。以下示例显示了默认区域 DNS 名称的格式。
+ `bedrock.region.amazonaws.com`
+ `bedrock-runtime.region.amazonaws.com`
+ `bedrock-mantle.region.api.aws`
+ `bedrock-agent.region.amazonaws.com`
+ `bedrock-agent-runtime.region.amazonaws.com`
## 为接口端点创建端点策略
端点策略是一种 IAM 资源,您可以将其附加到接口端点。默认端点策略提供通过接口端点访问 Amazon Bedrock 的完全访问权限。要控制允许从 VPC 访问 Amazon Bedrock 的访问权限,请将自定义端点策略附加到接口端点。
端点策略指定以下信息:
+ 可执行操作的主体(AWS 账户、IAM 用户和 IAM 角色)。
+ 可执行的操作。
+ 可对其执行操作的资源。
有关更多信息,请参阅《AWS PrivateLink 指南》**中的[使用端点策略控制对服务的访问权限](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
**示例:适用于 Amazon Bedrock 操作的 VPC 端点策略**
以下是自定义端点策略的示例。当将该基于资源的策略附加到接口端点时,它会向所有主体授予对所有资源执行所列 Amazon Bedrock 操作的访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource":"*"
}
]
}
```
------
**示例:亚马逊 Bedrock Mantle 操作的 VPC 终端节点策略**
以下是自定义端点策略的示例。当您将此基于资源的策略附加到接口终端节点时,它会向所有委托人授予所有资源上列出的 Amazon Bedrock Mantle 操作的访问权限。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock-mantle:CreateInference"
],
"Resource":"*"
}
]
}
```