Schützen von Batch-Inferenzaufträgen mit einer VPC - Amazon Bedrock
Einrichten einer VPC zum Schutz Ihrer Daten während der Batch-InferenzAnhängen von VPC-Berechtigungen an eine Batch-InferenzrolleFügen Sie die VPC-Konfiguration hinzu, wenn Sie einen Batch-Inferenzauftrag übermitteln.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schützen von Batch-Inferenzaufträgen mit einer VPC

Wenn Sie einen Batch-Inferenzauftrag ausführen, greift der Auftrag auf Ihren Amazon-S3-Bucket zu, um die Eingabedaten herunterzuladen und die Ausgabedaten zu schreiben. Wenn Sie den Zugriff auf Ihre Daten kontrollieren möchten, empfehlen wir Ihnen, eine Virtual Private Cloud (VPC) mit Amazon VPC zu erstellen. Sie können Ihre Daten zusätzlich schützen, indem Sie Ihre VPC so konfigurieren, dass Ihre Daten nicht über das Internet verfügbar sind, und stattdessen einen VPC-Schnittstellenendpunkt mit AWS PrivateLink erstellen, um eine private Verbindung zu Ihren Daten herzustellen. Weitere Informationen zur AWS PrivateLink Integration von Amazon VPC mit Amazon Bedrock finden Sie unter. Schützen Ihrer Daten mit Amazon VPC und AWS PrivateLink

Führen Sie die folgenden Schritte aus, um eine VPC für die Eingabe-Prompts und Antworten des Ausgabemodells Ihrer Batch-Inferenzaufträge zu konfigurieren und zu verwenden.

Einrichten einer VPC zum Schutz Ihrer Daten während der Batch-Inferenz

Zum Einrichten einer VPC befolgen Sie die Schritte unter Einrichten einer VPC. Sie können Ihre VPC noch zusätzlich schützen, indem Sie einen S3-VPC-Endpunkt einrichten und ressourcenbasierte IAM-Richtlinien verwenden, um den Zugriff auf den S3-Bucket einzuschränken, der Ihre Batch-Inferenzdaten enthält, indem Sie die Schritte unter (Beispiel) Beschränken des Datenzugriffs auf Ihre Amazon-S3-Daten mit VPC befolgen.

Anhängen von VPC-Berechtigungen an eine Batch-Inferenzrolle

Nachdem Sie die Einrichtung Ihrer VPC abgeschlossen haben, fügen Sie die folgenden Berechtigungen Ihrer Batch-Inferenz-Servicerolle hinzu, damit diese auf die VPC zugreifen kann. Ändern Sie diese Richtlinie so, dass nur Zugriff auf die VPC-Ressourcen gewährt wird, die Ihr Auftrag benötigt. Ersetzen Sie das subnet-ids und security-group-id durch die Werte aus Ihrer VPC.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
                "arn:aws:ec2:us-east-1:123456789012:subnet/${{subnet-id}}",
                "arn:aws:ec2:us-east-1:123456789012:security-group/${{security-group-id}}"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/BedrockManaged": [
                        "true"
                    ]
                },
                "ArnEquals": {
                    "aws:RequestTag/BedrockModelInvocationJobArn": [
                        "arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "3",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:Subnet": [
                        "arn:aws:ec2:us-east-1:123456789012:subnet/${{subnet-id}}"
                    ]
                },
                "ArnEquals": {
                    "ec2:ResourceTag/BedrockModelInvocationJobArn": [
                        "arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "4",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelInvocationJobArn"
                    ]
                }
            }
        }
    ]
}

Fügen Sie die VPC-Konfiguration hinzu, wenn Sie einen Batch-Inferenzauftrag übermitteln.

Nachdem Sie die VPC und die erforderlichen Rollen und Berechtigungen wie in den vorherigen Abschnitten beschrieben konfiguriert haben, können Sie einen Batch-Inferenzauftrag erstellen, der diese VPC verwendet.

Anmerkung

Derzeit können Sie beim Erstellen eines Batch-Inferenzauftrags eine VPC nur über die API nutzen.

Wenn Sie die VPC-Subnetze und Sicherheitsgruppen für einen Job angeben, erstellt Amazon Bedrock elastische Netzwerkschnittstellen (ENIs), die Ihren Sicherheitsgruppen in einem der Subnetze zugeordnet sind. ENIs Erlauben Sie dem Amazon Bedrock-Job, eine Verbindung zu Ressourcen in Ihrer VPC herzustellen. Weitere Informationen dazu ENIs finden Sie unter Elastic Network Interfaces im Amazon VPC-Benutzerhandbuch. Amazon Bedrock-Tags ENIs , die es mit BedrockManaged und BedrockModelInvocationJobArn tags erstellt.

Wir empfehlen, mindestens ein Subnetz in jeder Availability Zone zur Verfügung zu stellen.

Sie können Sicherheitsgruppen verwenden, um Regeln für die Steuerung des Zugriffs von Amazon Bedrock auf Ihre VPC-Ressourcen festzulegen.

Sie können die VPC entweder in der Konsole oder über die API konfigurieren. Wählen Sie die Registerkarte für Ihre bevorzugte Methode aus befolgen Sie dann die Schritte:

Console

Für die Amazon-Bedrock-Konsole geben Sie VPC-Subnetze und Sicherheitsgruppen im optionalen Abschnitt VPC-Einstellungen an, wenn Sie den Batch-Inferenzauftrag übermitteln.

Anmerkung

Bei Aufträgen, die eine VPC-Konfiguration beinhalten, kann die Konsole nicht automatisch eine Servicerolle für Sie erstellen. Folgen Sie der Anleitung unter Erstellen eine benutzerdefinierten Servicerolle für die Batch-Inferenz, um eine benutzerdefinierte Rolle zu erstellen.

API

Wenn Sie eine CreateModelInvocationJobAnfrage einreichen, können Sie einen VpcConfig als Anforderungsparameter angeben, um die zu verwendenden VPC-Subnetze und Sicherheitsgruppen anzugeben, wie im folgenden Beispiel.

"vpcConfig": { 
    "securityGroupIds": [
        "sg-0123456789abcdef0"
    ],
    "subnets": [
        "subnet-0123456789abcdef0",
        "subnet-0123456789abcdef1",
        "subnet-0123456789abcdef2"
    ]
}