本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用介面VPC端點 (AWS PrivateLink)在您VPC和 Amazon 基岩之間創建私人連接
您可以使用... AWS PrivateLink 在您VPC和 Amazon 基岩之間創建私人連接。您可以像在您的基岩中一樣訪問 Amazon 基岩VPC,而無需使用互聯網網關,NAT設備,VPN連接或 AWS Direct Connect 連接。您中的執行個體VPC不需要公有 IP 地址即可存取 Amazon 基岩。
您可以通過創建一個接口端點來建立此私人連接,由 AWS PrivateLink。 我們會在您為介面端點啟用的每個子網路中建立端點網路介面。這些是請求者管理的網路介面,可作為目的地為 Amazon Bedrock 之流量的進入點。
如需詳細資訊,請參閱存取 AWS 服務 通過 AWS PrivateLink中的AWS PrivateLink 指南。
Amazon 基岩VPC端點的注意事項
在您為 Amazon 基岩設定介面端點之前,請先參閱 AWS PrivateLink 指南。
Amazon 基岩支援透VPC過端點API撥打下列呼叫。
| 類別 | 端點字首 |
|---|---|
| Amazon 基岩控制平面動作 API | bedrock |
| Amazon 基岩運行時操作 API | bedrock-runtime |
| Amazon 基岩代理程式建置時間動作 API | bedrock-agent |
| Amazon 基岩代理程式執行階段動作 API | bedrock-agent-runtime |
可用區域
Amazon 基岩和 Amazon 基岩代理程式端點可在多個可用區域中使用。
建立 Amazon Bedrock 的介面端點
您可以使用 Amazon VPC 主控台或 AWS Command Line Interface (AWS CLI). 如需詳細資訊,請參閱 AWS PrivateLink 指南。
使用以下任何服務名稱,為 Amazon Bedrock 建立介面端點:
-
com.amazonaws.region.bedrock -
com.amazonaws.region.bedrock-runtime -
com.amazonaws.region.bedrock-agent -
com.amazonaws.region.bedrock-agent-runtime
建立端點之後,您可以選擇啟用私人DNS主機名稱。建立VPC端點時,請在VPC主控台中選取「啟用私人DNS名稱」以啟用此設定。
如果您DNS為界面端點啟用私有,則可以使用其預設區域DNS名稱向 Amazon 基岩提出API請求。下列範例顯示預設地區DNS名稱的格式。
-
bedrock.region.amazonaws.com -
bedrock-runtime.region.amazonaws.com -
bedrock-agent.region.amazonaws.com -
bedrock-agent-runtime.region.amazonaws.com
為您的介面端點建立端點政策
端點策略是您可以附加到介面端點的IAM資源。預設端點政策允許透過介面端點完整存取 Amazon Bedrock。若要控制允許從您的 Amazon 基岩存取VPC,請將自訂端點政策附加到介面端點。
端點政策會指定以下資訊:
-
可以執行動作的主參與者 (AWS 帳戶、IAM使用者和IAM角色)。
-
可執行的動作。
-
可供執行動作的資源。
有關詳情,請參閱使用端點策略控制對服務的存取 AWS PrivateLink 指南。
範例:Amazon 基岩動作的VPC端點政策
以下是自訂端點政策的範例。當您將此資源型政策附加到界面端點時,它會授予對所有資源上所有主體列出的 Amazon 基岩動作的存取權。
{ "Version": "2012-10-17", "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource":"*" } ] }
