本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
[可选] 使用保护您的模型自定义作业 VPC
当您运行模型自定义作业时,该作业会访问您的 Amazon S3 存储桶来下载输入数据和上传作业指标。要控制对数据的访问,我们建议您在 Amazon 上使用虚拟私有云 (VPC) VPC。您可以通过配置您的数据来进一步保护您的数据,VPC使其无法通过 Internet 访问您的数据,而是使用创建一个VPC接口端点AWS PrivateLink来建立与您的数据的私有连接。有关亚马逊VPC和如何与 Amazon Bedrock AWS PrivateLink 集成的更多信息,请参阅使用 Amazon VPC 和 AWS PrivateLink 保护您的数据。
执行以下步骤,VPC为模型自定义作业配置和使用训练、验证和输出数据。
设置VPC为在模型自定义期间保护您的数据
要设置VPC,请按照中的步骤操作设置 VPC。您可以VPC按照中的步骤设置 S3 VPC 终端节点并使用基于资源的IAM策略来限制对包含模型自定义数据的 S3 存储桶的访问权限,从而进一步保护您的安全。(示例)使用 VPC 限制对 Amazon S3 数据的访问
为模型自定义角色附加VPC权限
完成设置后VPC,将以下权限附加到您的模型自定义服务角色以允许其访问VPC。修改此策略以仅允许访问您的工作所需的VPC资源。将${{subnet-ids}}和security-group-id替换为您的值VPC。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", ], "Resource":[ "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*" ], "Condition": { "StringEquals": { "aws:RequestTag/BedrockManaged": ["true"] }, "ArnEquals": { "aws:RequestTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", ], "Resource":[ "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}", "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}", "arn:aws:ec2:${{region}}:${{account-id}}:security-group/security-group-id" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", ], "Resource": "*", "Condition": { "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}", "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}" ], "ec2:ResourceTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"] }, "StringEquals": { "ec2:ResourceTag/BedrockManaged": "true" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": [ "CreateNetworkInterface" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "BedrockManaged", "BedrockModelCustomizationJobArn" ] } } } ] }
提交模型自定义任务时添加VPC配置
按照前几节所述配置VPC和必需的角色和权限后,您可以创建使用该角色和权限的模型自定义作业VPC。
当您为任务指定VPC子网和安全组时,Amazon Bedrock 会在其中一个子网中创建与您的安全组关联的弹性网络接口 (ENIs)。 ENIs允许 Amazon Bedrock 任务连接到您VPC中的资源。有关信息ENIs,请参阅 Amazon VPC 用户指南中的弹性网络接口。它创建的 Amazon Bedrock 标签ENIsBedrockManaged和BedrockModelCusomizationJobArn标签。
我们建议您至少在每个可用区中提供一个子网。
您可以使用安全组来制定控制您VPC资源的 Amazon Bedrock 访问权限的规则。
您可以将配置VPC为在控制台中使用,也可以通过使用API。选择您首选方法的选项卡,然后按照以下步骤操作:
