本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Amazon VPC 和 AWS PrivateLink 保護資料
若要控制對資料的存取,建議您使用虛擬私有雲端 (VPC) 搭配 [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)。使用 VPC 保護資料,讓您透過使用 [VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 監控所有傳出和傳入 AWS 作業容器的網路流量。
您可以透過設定 VPC 進一步保護資料,使得資料無法透過網際網路取得,並使用 [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) 建立 VPC 介面端點,以建立資料的私有連結。
以下列出 Amazon Bedrock 的一些功能,您可以利用這些功能使用 VPC 保護資料:
+ 模型自訂 – [(選用) 使用 VPC 保護模型自訂任務](custom-model-job-access-security.md#vpc-model-customization)
+ 批次推論 – [使用 VPC 保護批次推論任務](batch-vpc.md)
+ Amazon Bedrock 知識庫 – [使用介面端點 (AWS PrivateLink)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-vpc.html) 存取 Amazon OpenSearch Serverless
## 設定 VPC
您可以使用[預設 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html),或遵循[開始使用 Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html) 和[建立 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) 中的指引建立新的 VPC。
當您建立 VPC 時,建議為端點路由表使用預設的 DNS 設定,如此才能解析標準 Amazon S3 URL (例如 `http://s3-aws-region.amazonaws.com/training-bucket`)。
下列主題說明如何在 AWS PrivateLink 的協助下設定 VPC 端點,以及使用 VPC 保護 S3 檔案存取權的範例使用案例。
**Topics**
+ [設定 VPC](#create-vpc)
+ [使用介面 VPC 端點 (AWS PrivateLink) 即可在 VPC 與 Amazon Bedrock 之間建立私有連線。](vpc-interface-endpoints.md)
+ [(範例) 使用 VPC 存取限制對 Amazon S3 資料的資料存取權](vpc-s3.md)
# 使用介面 VPC 端點 (AWS PrivateLink) 即可在 VPC 與 Amazon Bedrock 之間建立私有連線。
您可以使用 在 VPC 和 Amazon Bedrock 之間 AWS PrivateLink 建立私有連線。您可以像在 VPC 中一樣存取 Amazon Bedrock,無需使用網際網路閘道、NAT 裝置、VPN 連接或 Direct Connect 連線。VPC 中的執行個體無需公有 IP 地址,即可存取 Amazon Bedrock。
您可以建立由 AWS PrivateLink提供支援的*介面端點*來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面,可作為目的地為 Amazon Bedrock 之流量的進入點。
如需詳細資訊,請參閱《 *AWS PrivateLink 指南*》中的[AWS 服務 透過 存取 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) 。
## Amazon Bedrock VPC 端點的考量事項
在您為 Amazon Bedrock 設定介面端點之前,請檢閱《*AWS PrivateLink 指南*》中的[考量事項](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)。
Amazon Bedrock 支援透過 VPC 端點進行 API 呼叫。
****
| Category | 端點尾碼 |
| --- | --- |
| [Amazon Bedrock 控制平面 API 動作](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock.html) | bedrock |
| [Amazon Bedrock 執行時期 API 動作](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html) | bedrock-runtime |
| Amazon Bedrock Mantle API 動作 | bedrock-mantle |
| [Amazon Bedrock 代理人建置時期 API 動作](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock.html) | bedrock-agent |
| [Amazon Bedrock 代理人執行時期 API 動作](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock_Runtime.html) | bedrock-agent-runtime |
**可用區域**
Amazon Bedrock 和 Amazon Bedrock 代理人適用於多個可用區域。
## 建立 Amazon Bedrock 的介面端點
您可以使用 Amazon VPC 主控台或 AWS Command Line Interface () 為 Amazon Bedrock 建立介面端點AWS CLI。如需詳細資訊,請參閱《*AWS PrivateLink 指南*》中的「[建立介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)」。
使用以下任何服務名稱,為 Amazon Bedrock 建立介面端點:
+ `com.amazonaws.region.bedrock`
+ `com.amazonaws.region.bedrock-runtime`
+ `com.amazonaws.region.bedrock-mantle`
+ `com.amazonaws.region.bedrock-agent`
+ `com.amazonaws.region.bedrock-agent-runtime`
建立端點後,您可以選擇啟用私有 DNS 主機名稱。當您建立 VPC 端點時,在 VPC 主控台中選取 Enable Private DNS Name (啟用私有 DNS 名稱) 來啟用此設計。
如果您為該介面端點啟用私有 DNS,您可以使用其區域的預設 DNS 名稱向 Amazon Bedrock 發出 API 請求。下列範例顯示預設區域 DNS 名稱的格式。
+ `bedrock.region.amazonaws.com`
+ `bedrock-runtime.region.amazonaws.com`
+ `bedrock-mantle.region.api.aws`
+ `bedrock-agent.region.amazonaws.com`
+ `bedrock-agent-runtime.region.amazonaws.com`
## 為您的介面端點建立端點政策
端點政策為 IAM 資源,您可將其連接至介面端點。預設端點政策允許透過介面端點完整存取 Amazon Bedrock。若要控制 VPC 對 Amazon Bedrock 的存取,請將自訂端點政策連接至介面端點。
端點政策會指定以下資訊:
+ 可執行動作 (AWS 帳戶、IAM 使用者和 IAM 角色) 的主體。
+ 可執行的動作。
+ 可供執行動作的資源。
如需詳細資訊,請參閱《*AWS PrivateLink 指南*》中的「[使用端點政策控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」。
**範例:Amazon Bedrock 動作的 VPC 端點政策**
以下是自訂端點政策的範例。連接此資源型政策至介面端點後,此政策會針對所有資源上的所有主體,授予所列出 Amazon Bedrock 動作的存取權。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource":"*"
}
]
}
```
------
**範例:Amazon Bedrock Mantle 動作的 VPC 端點政策**
以下是自訂端點政策的範例。當您將此資源型政策連接到介面端點時,它會授予所有資源上所有主體所列出的 Amazon Bedrock 管理動作的存取權。
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"bedrock-mantle:CreateInference"
],
"Resource":"*"
}
]
}
```
# (範例) 使用 VPC 存取限制對 Amazon S3 資料的資料存取權
您可以使用 VPC 來限制對 Amazon S3 儲存貯體中資料的存取權。為了進一步提高安全性,您可以在未存取網際網路的狀況下設定 VPC,並使用 AWS PrivateLink為其建立端點。您也可以透過將資源型政策連接至 VPC 端點或 S3 儲存貯體,來限制存取。
**Topics**
+ [建立 Amazon S3 VPC 端點](#vpc-s3-create)
+ [(選用) 使用 IAM 政策來限制對 S3 檔案的存取](#vpc-policy-rbp)
## 建立 Amazon S3 VPC 端點
如果您在沒有存取網際網路的情況下設定 VPC,則需要建立 [Amazon S3 VPC 端點](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html),以允許模型自訂任務存取 S3 儲存貯體,其中會存放訓練和驗證資料並將存放模型成品。
遵循[為 Amazon S3 建立閘道端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3)中的步驟,建立 S3 VPC 端點。
**注意**
如果您未將預設的 DNS 設定用於 VPC,則必須透過設定端點路由表,來確保訓練任務中資料位置的 URL 可解析。如需 VPC 端點路由表的相關資訊,請參閱[閘道端點的路由](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing)。
## (選用) 使用 IAM 政策來限制對 S3 檔案的存取
您可以使用[資源型政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)更緊密地控制對 S3 檔案的存取。您可以使用下列類型資源型政策的任意組合。
+ **端點政策** – 您可以將端點政策連接至 VPC 端點,以透過 VPC 端點限制存取權。預設端點政策可讓 VPC 中的任何使用者或服務完整存取 Amazon S3。在建立端點時或之後,您可以選擇將資源型政策連接至端點以新增限制,例如僅允許端點存取特定儲存貯體,或僅允許特定 IAM 角色存取端點。如需範例,請參閱[編輯 VPC 端點政策](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#edit-vpc-endpoint-policy-s3)。
以下是您可以連接到 VPC 端點的範例政策,以僅允許其存取您指定的儲存貯體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToTrainingBucket",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
]
}
]
}
```
------
+ **儲存貯體政策** – 您可以將儲存貯體政策連接至 S3 儲存貯體,以限制對其的存取權。若要建立儲存貯體政策,請遵循[使用儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)中的步驟。若要限制存取來自 VPC 的流量,您可以使用條件金鑰來指定 VPC 本身、VPC 端點或 VPC 的 IP 位址。您可以使用 [aws:sourceVpc](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc)、[aws:sourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce) 或 [aws:VpcSourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpcsourceip) 條件金鑰。
以下是您可以連接到 S3 儲存貯體的範例政策,以拒絕所有流到儲存貯體的流量,除非流量來自您的 VPC。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToOutputBucket",
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:sourceVpc": "vpc-11223344556677889"
}
}
}
]
}
```
------
如需更多範例,請參閱[使用儲存貯體政策控制存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#bucket-policies-s3)。