Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# (Facultatif) Protection des tâches d’importation de modèles personnalisés à l’aide d’un VPC
Lorsque vous exécutez une tâche de personnalisation de modèle, celle-ci accède à votre compartiment Amazon S3 pour télécharger les données d’entrée et pour charger les métriques de la tâche. Pour contrôler l’accès à vos données, nous vous recommandons d’utiliser un cloud privé virtuel (VPC) avec [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html). Vous pouvez mieux protéger vos données en configurant votre VPC de manière à ce qu’elles ne soient pas disponibles sur Internet et en créant plutôt un point de terminaison d’interface VPC avec [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) pour établir une connexion privée à vos données. Pour plus d'informations sur la manière dont Amazon VPC AWS PrivateLink s'intègre à Amazon Bedrock, consultez. [Protection de vos données à l’aide d’Amazon VPC et AWS PrivateLink](usingVPC.md)
Procédez comme suit pour configurer et utiliser un VPC pour importer vos modèles personnalisés.
**Topics**
+ [Configuration d’un VPC](#create-vpc-cmi)
+ [Création d’un point de terminaison d’un VPC Amazon S3](#train-vpc-s3-cmi)
+ [(Facultatif) Utilisation des politiques IAM pour restreindre l’accès à vos fichiers S3](#train-vpc-policy-cmi)
+ [Associez des autorisations VPC à un rôle d’importation de modèle personnalisé.](#vpc-data-access-role-cmi)
+ [Ajoutez la configuration VPC lors de la soumission d’une tâche d’importation de modèle](#vpc-config-cmi)
## Configuration d’un VPC
Vous pouvez utiliser un [VPC par défaut](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html) pour les données d’importation de votre modèle ou créer un nouveau VPC en suivant les instructions des sections [Commencer avec Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html) et [Créer un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html).
Lorsque vous créez votre VPC, nous vous recommandons d'utiliser les paramètres DNS par défaut pour la table de routage de votre point de terminaison, afin que la norme Amazon S3 URLs (par exemple`http://s3-aws-region.amazonaws.com/model-bucket`) soit résolue.
## Création d’un point de terminaison d’un VPC Amazon S3
Si vous configurez votre VPC sans accès à Internet, vous devez créer un [point de terminaison de VPC Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html) pour permettre à vos tâches d’importation de modèles d’accéder aux compartiments S3 qui stockent vos données d’entraînement et de validation et qui stockeront les artefacts du modèle.
Créez le point de terminaison d’un VPC S3 en suivant les étapes de [Création d’un point de terminaison de passerelle pour Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3).
**Note**
Si vous n'utilisez pas les paramètres DNS par défaut pour votre VPC, vous devez vous assurer que les URLs emplacements des données dans vos tâches de formation sont résolus en configurant les tables de routage des points de terminaison. Pour plus d’informations sur les tables de routage de point de terminaison de VPC, consultez [Routage des points de terminaison de passerelle](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing).
## (Facultatif) Utilisation des politiques IAM pour restreindre l’accès à vos fichiers S3
Vous pouvez utiliser des [politiques basées sur les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) pour contrôler plus étroitement l’accès à vos fichiers S3. Vous pouvez utiliser le type de politique basée sur les ressources suivant.
+ **Politiques de point de terminaison** : les politiques de point de terminaison limitent l’accès via le point de terminaison d’un VPC. Par défaut, la politique de point de terminaison autorise un accès complet à Amazon S3 pour n’importe quel utilisateur ou service au sein de votre VPC. Lors de la création ou après avoir créé le point de terminaison, vous pouvez éventuellement attacher une politique basée sur les ressources au point de terminaison pour ajouter des restrictions, par exemple autoriser uniquement le point de terminaison à accéder à un compartiment spécifique ou uniquement autoriser un rôle IAM spécifique à accéder au point de terminaison. Pour des exemples, consultez [Modifier la politique de point de terminaison de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#edit-vpc-endpoint-policy-s3).
Voici un exemple de politique que vous pouvez associer à votre point de terminaison d’un VPC pour lui permettre uniquement d’accéder au compartiment contenant les pondérations de votre modèle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictAccessToModelWeightsBucket",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::model-weights-bucket",
"arn:aws:s3:::model-weights-bucket/*"
]
}
]
}
```
------
## Associez des autorisations VPC à un rôle d’importation de modèle personnalisé.
Une fois que vous avez terminé de configurer votre VPC et votre point de terminaison, vous devez associer les autorisations suivantes à votre [rôle IAM d’importation de modèles](model-import-iam-role.md). Modifiez cette politique de manière à n’autoriser l’accès qu’aux ressources de VPC dont votre tâche a besoin. Remplacez le *subnet-ids* et *security-group-id* par les valeurs de votre VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:network-interface/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/BedrockManaged": [
"true"
]
},
"ArnEquals": {
"aws:RequestTag/BedrockModelImportJobArn": [
"arn:aws:bedrock:us-east-1:123456789012:model-import-job/*"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id",
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id2",
"arn:aws:ec2:us-east-1:123456789012:security-group/security-group-id"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"ec2:Subnet": [
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id",
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id2"
],
"ec2:ResourceTag/BedrockModelImportJobArn": [
"arn:aws:bedrock:us-east-1:123456789012:model-import-job/*"
]
},
"StringEquals": {
"ec2:ResourceTag/BedrockManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": [
"CreateNetworkInterface"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"BedrockManaged",
"BedrockModelImportJobArn"
]
}
}
}
]
}
```
------
## Ajoutez la configuration VPC lors de la soumission d’une tâche d’importation de modèle
Après avoir configuré le VPC ainsi que les rôles et autorisations requis comme décrit dans les sections précédentes, vous pouvez créer une tâche de personnalisation de modèle qui utilise ce VPC.
Lorsque vous spécifiez les sous-réseaux VPC et les groupes de sécurité pour une tâche, Amazon Bedrock crée des *interfaces réseau élastiques* (ENIs) associées à vos groupes de sécurité dans l'un des sous-réseaux. ENIs autorisez la tâche Amazon Bedrock à se connecter aux ressources de votre VPC. Pour plus d'informations ENIs, consultez la section [Elastic Network Interfaces](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) dans le guide de l'*utilisateur Amazon VPC*. Tags Amazon Bedrock avec ENIs lesquels il crée `BedrockManaged` et `BedrockModelImportJobArn` étiquette.
Nous vous recommandons de choisir au moins un sous-réseau dans chaque zone de disponibilité.
Vous pouvez utiliser les groupes de sécurité pour établir des règles permettant de contrôler l’accès d’Amazon Bedrock aux ressources VPC.
Vous pouvez configurer le VPC à utiliser dans la console ou via l’API. Choisissez l’onglet correspondant à votre méthode préférée, puis suivez les étapes :
------
#### [ Console ]
Pour la console Amazon Bedrock, vous spécifiez les sous-réseaux et les groupes de sécurité du VPC dans la section facultative **Paramètres de VPC** lorsque vous créez la tâche d’importation de modèle. Pour plus d’informations sur la configuration des tâches d’importation de modèle, consultez [Envoi d’une tâche d’importation de modèles](model-customization-import-model-job.md).
------
#### [ API ]
Lorsque vous soumettez une [CreateModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelCustomizationJob.html)demande, vous pouvez inclure un `VpcConfig` paramètre de demande pour spécifier les sous-réseaux VPC et les groupes de sécurité à utiliser, comme dans l'exemple suivant.
```
"VpcConfig": {
"SecurityGroupIds": [
"sg-0123456789abcdef0"
],
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
]
}
```
------