本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
【選用】 使用 保護您的模型自訂任務 VPC
當您執行模型自訂工作時,工作會存取 Amazon S3 儲存貯體以下載輸入資料和上傳工作指標。若要控制對資料的存取,建議您搭配 Amazon VPC使用虛擬私有雲端 (VPC)。您可以透過設定 進一步保護您的資料,VPC使其無法透過網際網路存取資料,而是使用 建立VPC介面端點AWS PrivateLink,以建立資料的私有連線。如需 Amazon VPC和 如何與 Amazon Bedrock AWS PrivateLink 整合的詳細資訊,請參閱 使用 Amazon VPC和 保護您的資料 AWS PrivateLink。
執行下列步驟,以設定和使用 VPC進行模型自訂任務的訓練、驗證和輸出資料。
設定VPC以在模型自訂期間保護您的資料
若要設定 VPC,請依照 的步驟進行設定 VPC。您可以按照 中的步驟,VPC設定 S3 VPC端點並使用資源型IAM政策來限制存取包含模型自訂資料的 S3 儲存貯體,進一步保護您的 (範例) 使用以下方式限制對 Amazon S3 資料的資料存取 VPC。
將VPC許可附加至模型自訂角色
完成設定 後VPC,請將下列許可連接至模型自訂服務角色,以允許其存取 VPC。修改此政策,僅允許存取您的任務所需的VPC資源。取代 ${{subnet-ids}} 以及 security-group-id 使用來自 的值VPC。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", ], "Resource":[ "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*" ], "Condition": { "StringEquals": { "aws:RequestTag/BedrockManaged": ["true"] }, "ArnEquals": { "aws:RequestTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", ], "Resource":[ "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}", "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}", "arn:aws:ec2:${{region}}:${{account-id}}:security-group/security-group-id" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", ], "Resource": "*", "Condition": { "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}", "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}" ], "ec2:ResourceTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"] }, "StringEquals": { "ec2:ResourceTag/BedrockManaged": "true" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": [ "CreateNetworkInterface" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "BedrockManaged", "BedrockModelCustomizationJobArn" ] } } } ] }
提交模型自訂任務時新增VPC組態
如前幾節所述設定 VPC和所需角色和許可後,您可以建立使用此 的模型自訂任務VPC。
當您為任務指定VPC子網路和安全群組時,Amazon Bedrock 會建立與其中一個子網路中安全群組相關聯的彈性網路介面 (ENIs)。ENIs 允許 Amazon Bedrock 任務連線到您 中的資源VPC。如需 的相關資訊ENIs,請參閱 Amazon VPC使用者指南 中的彈性網路介面。使用 BedrockManaged和 標籤建立ENIs的 Amazon Bedrock BedrockModelCusomizationJobArn標籤。
建議您在每個可用區域中至少提供一個子網路。
您可以使用安全群組來建立控制 Amazon Bedrock 資源存取的規則VPC。
您可以將 VPC 設定為在 主控台或透過 使用API。選取與您所選方法對應的索引標籤,然後遵循下列步驟:
