設定 VPC以在批次推論期間保護您的資料將VPC許可連接至批次推論角色提交批次推論任務時新增VPC組態

使用保護批次推論任務 VPC

當您執行批次推論任務時，任務會存取您的 Amazon S3 儲存貯體，以下載輸入資料並寫入輸出資料。若要控制對資料的存取，我們建議您搭配 Amazon VPC使用虛擬私有雲端 (VPC)。您可以透過設定進一步保護您的資料，VPC使其無法透過網際網路使用，而是使用建立VPC介面端點AWS PrivateLink，以建立資料的私有連線。如需 Amazon VPC和如何與 Amazon Bedrock AWS PrivateLink 整合的詳細資訊，請參閱使用 Amazon VPC和保護您的資料 AWS PrivateLink。

執行下列步驟，針對批次推論任務VPC的輸入提示和輸出模型回應設定和使用。

設定 VPC以在批次推論期間保護您的資料

若要設定 VPC，請遵循中的步驟設定 VPC。您可以VPC依照中的步驟，設定 S3 VPC端點並使用資源型IAM政策來限制存取包含批次推論資料的 S3 儲存貯體，進一步保護您的 (範例) 使用以下方式限制對 Amazon S3 資料的資料存取 VPC。

將VPC許可連接至批次推論角色

完成設定後VPC，請將下列許可連接至批次推論服務角色，以允許其存取 VPC。修改此政策，僅允許存取您的任務所需的VPC資源。將 subnet-ids和 security-group-id取代為中的值VPC。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
                "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
                "arn:aws:ec2:${{region}}:${{account-id}}:security-group/${{security-group-id}}"
            ],
            "Condition": {
               "StringEquals": { 
                   "aws:RequestTag/BedrockManaged": ["true"]
                },
                "ArnEquals": {
                   "aws:RequestTag/BedrockModelInvocationJobArn": 
                   ["arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"]
               }
            }
        },
        {
            "Sid": "3",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:Subnet": [
                        "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}"
                    ]
                },
                "ArnEquals": {
                    "ec2:ResourceTag/BedrockModelInvocationJobArn": [
                        "arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "4",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]    
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelInvocationJobArn"
                    ]
                }
             }
        }
    ]
}

提交批次推論任務時新增VPC組態

如前幾節所述設定 VPC和所需角色和許可後，您可以建立使用此的批次推論任務VPC。

注意

目前，建立批次推論任務時，您只能VPC透過使用 API。

當您為任務指定VPC子網路和安全群組時，Amazon Bedrock 會建立彈性網路介面 (ENIs)，這些介面與其中一個子網路中的安全群組相關聯。 ENIs 允許 Amazon Bedrock 任務連接到中的資源VPC。如需的相關資訊ENIs，請參閱《Amazon VPC使用者指南》中的彈性網路界面。使用 BedrockManaged和標籤建立ENIs的 Amazon Bedrock BedrockModelInvocationJobArn標籤。

建議您在每個可用區域中至少提供一個子網路。

您可以使用安全群組來建立規則，以控制 Amazon Bedrock 對 VPC 資源的存取。

您可以將 VPC 設定為在主控台或透過使用 API。選擇您偏好方法的索引標籤，然後遵循下列步驟：

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

許可

建立任務。

使用 保護批次推論任務 VPC

主題

設定 VPC以在批次推論期間保護您的資料

將VPC許可連接至批次推論角色

提交批次推論任務時新增VPC組態

注意

注意

使用保護批次推論任務 VPC