本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
當您執行模型自訂工作時,工作會存取 Amazon S3 儲存貯體以下載輸入資料和上傳工作指標。若要控制對資料的存取,建議您搭配 Amazon VPC 使用虛擬私有雲端 (VPC)。您可以透過設定 VPC 進一步保護您的資料,使得您的資料無法透過網際網路使用,而是使用 建立 VPC 介面端點AWS PrivateLink,以建立資料的私有連線。如需有關 Amazon VPC 如何與 Amazon Bedrock AWS PrivateLink 整合的詳細資訊,請參閱 使用 Amazon VPC 和 保護您的資料 AWS PrivateLink。
執行下列步驟,以設定和使用 VPC 進行模型自訂任務的訓練、驗證和輸出資料。
設定 VPC 以在模型自訂期間保護您的資料
若要設定 VPC,請遵循 中的步驟設定 VPC。您可以進一步保護 VPC,方法是設定 S3 VPC 端點,並使用資源型 IAM 政策,依照 中的步驟,限制存取包含模型自訂資料的 S3 儲存貯體(範例) 限制使用 VPC 存取 Amazon S3 資料的資料。
將 VPC 許可連接至模型自訂角色
完成設定 VPC 之後,請將下列許可連接至模型自訂服務角色,以允許其存取 VPC。修改此政策,僅允許存取您的任務所需的 VPC 資源。將 ${{subnet-ids}} 和 security-group-id 取代為 VPC 中的值。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
],
"Resource":[
"arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/BedrockManaged": ["true"]
},
"ArnEquals": {
"aws:RequestTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
],
"Resource":[
"arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
"arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}",
"arn:aws:ec2:${{region}}:${{account-id}}:security-group/security-group-id"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"ec2:Subnet": [
"arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}",
"arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}"
],
"ec2:ResourceTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"]
},
"StringEquals": {
"ec2:ResourceTag/BedrockManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": [
"CreateNetworkInterface"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"BedrockManaged",
"BedrockModelCustomizationJobArn"
]
}
}
}
]
}提交模型自訂任務時新增 VPC 組態
依照前幾節所述,設定 VPC 以及必要的角色和權限之後,您可以建立使用此 VPC 的模型自訂工作。
當您指定 VPC 子網路和安全群組時,Amazon Bedrock 會在其中一個子網路內建立與安全群組相關聯的彈性網路介面(ENI)。ENI 允許 Amazon Bedrock 工作連線至 VPC 中的資源。如需 ENI 的相關資訊,請參閱 Amazon VPC 使用者指南中的彈性網路介面。Amazon Bedrock 使用 BedrockManaged 和 BedrockModelCusomizationJobArn 標籤標記它建立的 ENI。
建議您在每個可用區域中至少提供一個子網路。
您可以使用安全群組建立規則,以控制 Amazon Bedrock 對 VPC 資源的存取。
您可以將 VPC 設定為在 主控台或透過 API 使用。選擇您偏好方法的索引標籤,然後遵循下列步驟:
對於 Amazon Bedrock 主控台,您可以在建立模型自訂工作時,在選用的 VPC 設定區段中指定 VPC 子網路和安全群組。如需設定任務的詳細資訊,請參閱 提交模型自訂任務。
注意
對於包含 VPC 組態的任務,主控台無法自動為您建立服務角色。遵循 中的指引來建立用於模型自訂的服務角色建立自訂角色。
