适用于 Amazon Braket 的亚马逊 VPC 终端节点 - Amazon Braket
Amazon Braket VPC 终端节点的注意事项设置 Braket 然后 PrivateLink有关创建终端节点的更多信息使用 Amazon VPC 终端节点策略控制访问权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 Amazon Braket 的亚马逊 VPC 终端节点

您可以通过创建接口 VPC 终端节点在您的 VPC 和 Amazon Braket 之间建立私有连接。接口端点由一种技术提供支持 AWS PrivateLink,该技术无需互联网网关、NAT 设备、VPN 连接或AWS Direct Connect连接即可访问 Braket API。您的 VPC 中的实例不需要公有 IP 地址即可与 Braket API 通信。

每个接口端点均由子网中的一个或多个弹性网络接口表示。

使用 PrivateLink,您的 VPC 和 Braket 之间的流量不会离开Amazon网络,这可以提高您与基于云的应用程序共享的数据的安全性,因为它可以减少您的数据暴露在公共互联网上的风险。有关更多信息,请参阅 Amazon VPC 用户指南中的接口 VPC 终端节点 (AWS PrivateLink)

在为 Braket 设置接口 VPC 终端节点之前,请务必查看 Amazon VPC 用户指南中的接口终端节点属性和限制

Braket 支持从您的 VPC 调用其所有 API 操作

默认情况下,允许通过 VPC 终端节点对 Braket 进行完全访问。如果您指定 VPC 终端节点策略,则可以控制访问权限。有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问权限

要AWS PrivateLink与 Amazon Braket 一起使用,您必须创建一个亚马逊虚拟私有云(亚马逊 VPC)终端节点作为接口,然后通过 Amazon Brak API et 服务连接到该终端节点。

以下是此过程的一般步骤,将在后面的章节中详细介绍。

  • 配置并启动 Amazon VPC 来托管您的AWS资源。如果您已有 VPC,请跳过此步骤。

  • 为 Braket 创建亚马逊 VPC 终端节点

  • 通过您的端点连接并运行 Braket 量子任务

第 1 步:如果需要,启动亚马逊 VPC

请记住,如果您的账户已有 VPC 在运行,则可以跳过此步骤。

VPC 控制您的网络设置,例如 IP 地址范围、子网、路由表和网络网关。本质上,您是在自定义虚拟网络中启动AWS资源。有关 VPC 的更多信息,请参阅 Amazon VPC User Guide

打开 Amazon VPC 控制台,创建一个包含子网、安全组和网络网关的新 VPC。

步骤 2:为 Braket 创建接口 VPC 终端节点

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 Braket 服务创建 VPC 终端节点。有关更多信息,请参阅《Amazon VPC 用户指南》中的创建接口端点

要在控制台中创建 VPC 终端节点,请打开 Amazon VPC 控制台,打开终端节点页面,然后继续创建新的终端节点。记下端点 ID 以供日后参考。当你向 Brak API et 拨打某些电话时,它必须作为—endpoint-url旗帜的一部分。

使用以下服务名称为 Braket 创建 VPC 终端节点:

  • com.amazonaws.substitute_your_region.braket

注意:如果您为终端节点启用私有 DNS,则可以使用该区域的默认 DNS 名称向 Braket API 发出请求,braket.us-east-1.amazonaws.com例如。

有关更多信息,请参阅《Amazon VPC 用户指南》中的通过接口端点访问服务

第 3 步:通过终端连接并运行 Braket 量子任务

创建 VPC 终端节点后,您可以运行包含endpoint-url参数的 CLI 命令来指定API或运行时的接口终端节点,例如以下示例:

aws braket search-quantum-tasks --endpoint-url VPC_Endpoint_ID.braket.substituteYourRegionHere.vpce.amazonaws.com

如果您为 VPC 终端节点启用私有 DNS 主机名,则无需在 CLI 命令中将终端节点指定为 URL。相反,CLI 和 Amazon Braket API SDK 默认使用的 Braket DNS 主机名会解析到你的 VPC 终端节点。它的形式如以下示例所示:

https://braket.substituteYourRegionHere.amazonaws.com

这篇名为 “使用AWS PrivateLink终端节点从 Amazon VPC 直接访问亚马逊 SageMaker 笔记本电脑” 的博客文章提供了一个示例,说明如何设置终端节点以与 SageMaker 笔记本建立安全连接,这与 Amazon Braket 笔记本类似。

如果您正在按照博客文章中的步骤操作,请记得用 AmazonBrak et 这个名字代替 Amazon SageMaker。如果您的地区不是 us-e ast- 1,请在服务AWS 区域名称中输入您的正确名称com.amazonaws.us-east-1.braket或将您的正确名称替换到该字符串中。

有关创建终端节点的更多信息

使用 Amazon VPC 终端节点策略控制访问权限

要控制对 Amazon Braket 的连接访问,您可以将 AWS Identity and Access Management (IAM) 终端节点策略附加到您的亚马逊 VPC 终端节点。该策略指定以下信息:

  • 可以执行操作的委托人(用户或角色)。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问

示例:Braket 操作的 VPC 终端节点策略

以下示例显示了 Braket 的终端节点策略。当连接到终端节点时,此策略允许所有委托人访问所有资源上列出的 Braket 操作。

{
 "Statement":[
 {
   "Principal":"*",
   "Effect":"Allow",
   "Action":[
     “braket:action-1",
     “braket:action-2",
     “braket:action-3”
     ],
   "Resource":"*"
   }
  ]
}

您可以通过附加多个端点策略来创建复杂的 IAM 规则。有关更多信息和示例,请参阅: