Protection des tâches d’inférence par lots à l’aide d’un VPC - Amazon Bedrock
Configuration du VPC pour protéger vos données lors de l’inférence par lotsAssociation des autorisations VPC à un rôle d’inférence par lotsAjout de la configuration VPC lors de la soumission d’une tâche d’inférence par lots

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des tâches d’inférence par lots à l’aide d’un VPC

Lorsque vous exécutez une tâche d’inférence par lots, celle-ci accède à votre compartiment Amazon S3 pour télécharger les données d’entrée et pour écrire les données de sortie. Pour contrôler l’accès à vos données, nous vous recommandons d’utiliser un cloud privé virtuel (VPC) avec Amazon VPC. Vous pouvez mieux protéger vos données en configurant votre VPC de manière à ce qu’elles ne soient pas disponibles sur Internet et en créant plutôt un point de terminaison d’interface VPC avec AWS PrivateLink pour établir une connexion privée à vos données. Pour plus d'informations sur la manière dont Amazon VPC AWS PrivateLink s'intègre à Amazon Bedrock, consultez. Protection de vos données à l’aide d’Amazon VPC et AWS PrivateLink

Procédez comme suit pour configurer et utiliser un VPC pour les invites de saisie et les réponses du modèle de sortie pour vos tâches d’inférence par lots.

Configuration du VPC pour protéger vos données lors de l’inférence par lots

Pour configurer un VPC, suivez les étapes décrites dans Configurez un VPC. Vous pouvez renforcer la sécurité de votre VPC en configurant un point de terminaison de VPC S3 et en utilisant des politiques IAM basées sur les ressources pour restreindre l’accès au compartiment S3 contenant vos données d’inférence par lots en suivant les étapes décrites dans. (Exemple) Restriction de l’accès à vos données Amazon S3 à l’aide d’un VPC.

Association des autorisations VPC à un rôle d’inférence par lots

Une fois que vous avez terminé de configurer votre VPC, associez les autorisations suivantes à votre rôle de service d’inférence par lots pour lui permettre d’accéder au VPC. Modifiez cette politique de manière à n’autoriser l’accès qu’aux ressources de VPC dont votre tâche a besoin. Remplacez le subnet-ids et security-group-id par les valeurs de votre VPC.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
                "arn:aws:ec2:us-east-1:123456789012:subnet/${{subnet-id}}",
                "arn:aws:ec2:us-east-1:123456789012:security-group/${{security-group-id}}"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/BedrockManaged": [
                        "true"
                    ]
                },
                "ArnEquals": {
                    "aws:RequestTag/BedrockModelInvocationJobArn": [
                        "arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "3",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:Subnet": [
                        "arn:aws:ec2:us-east-1:123456789012:subnet/${{subnet-id}}"
                    ]
                },
                "ArnEquals": {
                    "ec2:ResourceTag/BedrockModelInvocationJobArn": [
                        "arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "4",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelInvocationJobArn"
                    ]
                }
            }
        }
    ]
}

Ajout de la configuration VPC lors de la soumission d’une tâche d’inférence par lots

Après avoir configuré le VPC ainsi que les rôles et autorisations requis comme décrit dans les sections précédentes, vous pouvez créer une tâche de d’inférence par lots qui utilise ce VPC.

Note

Actuellement, lors de la création d’une tâche d’inférence par lots, vous ne pouvez utiliser un VPC que via l’API.

Lorsque vous spécifiez les sous-réseaux VPC et les groupes de sécurité pour une tâche, Amazon Bedrock crée des interfaces réseau élastiques (ENIs) associées à vos groupes de sécurité dans l'un des sous-réseaux. ENIs autorisez la tâche Amazon Bedrock à se connecter aux ressources de votre VPC. Pour plus d'informations ENIs, consultez la section Elastic Network Interfaces dans le guide de l'utilisateur Amazon VPC. Tags Amazon Bedrock avec ENIs lesquels il crée BedrockManaged et BedrockModelInvocationJobArn étiquette.

Nous vous recommandons de choisir au moins un sous-réseau dans chaque zone de disponibilité.

Vous pouvez utiliser les groupes de sécurité pour établir des règles permettant de contrôler l’accès d’Amazon Bedrock aux ressources VPC.

Vous pouvez configurer le VPC à utiliser dans la console ou via l’API. Choisissez l’onglet correspondant à votre méthode préférée, puis suivez les étapes :

Console

Pour la console Amazon Bedrock, vous spécifiez les sous-réseaux et les groupes de sécurité du VPC dans la section facultative Paramètres de VPC lorsque vous soumettez la tâche d’inférence par lots.

Note

La console ne peut pas créer automatiquement de rôle de service pour vous pour une tâche qui inclut une configuration de VPC. Suivez les instructions de la section Création d’un rôle de service pour l’inférence par lots pour créer un rôle personnalisé.

API

Lorsque vous soumettez une CreateModelInvocationJobdemande, vous pouvez inclure un VpcConfig paramètre de demande pour spécifier les sous-réseaux VPC et les groupes de sécurité à utiliser, comme dans l'exemple suivant.

"vpcConfig": { 
    "securityGroupIds": [
        "sg-0123456789abcdef0"
    ],
    "subnets": [
        "subnet-0123456789abcdef0",
        "subnet-0123456789abcdef1",
        "subnet-0123456789abcdef2"
    ]
}