Protezione dei processi di inferenza in batch con un VPC - Amazon Bedrock
Configurazione di VPC per proteggere i dati durante l’inferenza in batchCollegamento di autorizzazioni VPC a un ruolo di inferenza in batchAggiunta della configurazione VPC durante l’invio di un processo di inferenza in batch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei processi di inferenza in batch con un VPC

Quando viene eseguito, un processo di inferenza in batch, questo accede al bucket Amazon S3 per scaricare i dati di input e scrivere i dati di output. Per controllare l’accesso ai dati, consigliamo di creare un cloud privato virtuale (VPC) con Amazon VPC. Per proteggere ulteriormente i dati, configura il VPC in modo che non sia disponibile su Internet e crea invece un endpoint di interfaccia VPC con AWS PrivateLink per stabilire una connessione privata ai dati. Per ulteriori informazioni su come Amazon VPC si AWS PrivateLink integra con Amazon Bedrock, consulta. Protezione dei dati con Amazon VPC e AWS PrivateLink

Esegui la procedura sotto riportata per configurare e utilizzare un VPC per i prompt di input e le risposte del modello di output per i tuoi processi di inferenza in batch.

Configurazione di VPC per proteggere i dati durante l’inferenza in batch

Per configurare un VPC, segui le fasi indicate in Configurazione di un VPC. Per proteggere ulteriormente il VPC, configura un endpoint VPC S3 e utilizza policy IAM basate sulle risorse per limitare l’accesso al bucket S3 contenente i dati per l’inferenza in batch seguendo la procedura descritta in (Esempio) Limitazione dell’accesso ai dati di Amazon S3 utilizzando VPC.

Collegamento di autorizzazioni VPC a un ruolo di inferenza in batch

Dopo aver completato la configurazione del VPC, collega le seguenti autorizzazioni al ruolo di servizio di inferenza in batch per consentirgli di accedere al VPC. Modifica questa policy per consentire l’accesso solo alle risorse VPC necessarie per il processo. Sostituisci subnet-ids e security-group-id con i valori del tuo VPC.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
                "arn:aws:ec2:us-east-1:123456789012:subnet/${{subnet-id}}",
                "arn:aws:ec2:us-east-1:123456789012:security-group/${{security-group-id}}"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/BedrockManaged": [
                        "true"
                    ]
                },
                "ArnEquals": {
                    "aws:RequestTag/BedrockModelInvocationJobArn": [
                        "arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "3",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:Subnet": [
                        "arn:aws:ec2:us-east-1:123456789012:subnet/${{subnet-id}}"
                    ]
                },
                "ArnEquals": {
                    "ec2:ResourceTag/BedrockModelInvocationJobArn": [
                        "arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "4",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelInvocationJobArn"
                    ]
                }
            }
        }
    ]
}

Aggiunta della configurazione VPC durante l’invio di un processo di inferenza in batch

Dopo aver configurato il VPC, nonché le autorizzazioni e i ruoli richiesti e descritti nelle sezioni precedenti, puoi creare un processo di inferenza in batch che utilizza questo VPC.

Nota

Attualmente, quando si crea un processo di inferenza in batch, è possibile utilizzare solo un VPC tramite l’API.

Quando specifichi le sottoreti VPC e i gruppi di sicurezza per un job, Amazon Bedrock crea interfacce di rete elastiche (ENIs) associate ai tuoi gruppi di sicurezza in una delle sottoreti. ENIs consenti al job Amazon Bedrock di connettersi alle risorse nel tuo VPC. Per informazioni su ENIs, consulta Elastic Network Interfaces nella Amazon VPC User Guide. Tag Amazon Bedrock con ENIs cui crea BedrockManaged e BedrockModelInvocationJobArn tag.

Si consiglia di fornire almeno una sottorete in ogni zona di disponibilità.

È possibile utilizzare i gruppi di sicurezza per stabilire delle regole per controllare l’accesso di Amazon Bedrock alle risorse VPC.

È possibile configurare il VPC da utilizzare nella console o tramite l’API. Scegli la scheda relativa al metodo che preferisci, quindi segui la procedura:

Console

Per la console Amazon Bedrock, devi specificare le sottoreti e i gruppi di sicurezza VPC nella sezione facoltativa Impostazioni VPC quando crei il processo di inferenza in batch.

Nota

Se un processo include la configurazione del VPC, la console non può creare automaticamente un nuovo ruolo di servizio. Segui le indicazioni riportate in Creazione di un ruolo di servizio per l’inferenza in batch per creare un ruolo personalizzato.

API

Quando invii una CreateModelInvocationJobrichiesta, puoi includere un parametro VpcConfig come richiesta per specificare le sottoreti VPC e i gruppi di sicurezza da utilizzare, come nell'esempio seguente.

"vpcConfig": { 
    "securityGroupIds": [
        "sg-0123456789abcdef0"
    ],
    "subnets": [
        "subnet-0123456789abcdef0",
        "subnet-0123456789abcdef1",
        "subnet-0123456789abcdef2"
    ]
}