(Facoltativo) Proteggere i processi di importazione dei modelli personalizzati utilizzando un VPC - Amazon Bedrock
Configurazione di un VPCCreazione di un endpoint VPC Amazon S3(Facoltativo) Utilizzo delle policy IAM per limitare l’accesso ai file S3Collegare le autorizzazioni VPC a un ruolo di importazione dei modelli personalizzati.Aggiungere la configurazione VPC durante l’invio di un processo di importazione dei modelli

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

(Facoltativo) Proteggere i processi di importazione dei modelli personalizzati utilizzando un VPC

Quando viene eseguito, un processo di importazione dei modelli personalizzati accede al bucket Amazon S3 per scaricare i dati di input e caricare le metriche del processo. Per controllare l’accesso ai dati, consigliamo di creare un cloud privato virtuale (VPC) con Amazon VPC. Per proteggere ulteriormente i dati, configura il VPC in modo che non sia disponibile su Internet e crea invece un endpoint di interfaccia VPC con AWS PrivateLink per stabilire una connessione privata ai dati. Per ulteriori informazioni su come Amazon VPC si AWS PrivateLink integra con Amazon Bedrock, consulta. Protezione dei dati con Amazon VPC e AWS PrivateLink

Esegui la seguente procedura per configurare e utilizzare un VPC per importare i tuoi modelli personalizzati.

Configurazione di un VPC

Puoi utilizzare un VPC predefinito per i dati di importazione dei modelli o crearne uno nuovo seguendo le indicazioni in Nozioni di base su Amazon VPC e Crea un VPC.

Quando crei il tuo VPC, ti consigliamo di utilizzare le impostazioni DNS predefinite per la tabella di routing degli endpoint, in modo che Amazon S3 standard URLs (ad esempio) risolva. http://s3-aws-region.amazonaws.com/model-bucket

Creazione di un endpoint VPC Amazon S3

Se configuri il VPC senza accesso a Internet, devi creare un endpoint VPC Amazon S3 per consentire ai processi di impostazione dei modelli di accedere ai bucket S3 che archiviano i dati di addestramento e convalida e che archivieranno gli artefatti del modello.

Crea l’endpoint VPC S3 seguendo i passaggi indicati in Creazione di un endpoint gateway per Amazon S3.

Nota

Se non utilizzi le impostazioni DNS predefinite per il tuo VPC, devi assicurarti che URLs le quattro posizioni dei dati nei processi di formazione vengano risolte configurando le tabelle di routing degli endpoint. Per informazioni sulle tabelle di routing degli endpoint VPC, consulta Routing per endpoint gateway.

(Facoltativo) Utilizzo delle policy IAM per limitare l’accesso ai file S3

Puoi utilizzare policy basate su risorse per controllare in modo più rigoroso l’accesso ai file S3. È possibile utilizzare il seguente tipo di policy basata su risorse.

  • Policy di endpoint: le policy di endpoint limitano l’accesso tramite l’endpoint VPC. La policy di endpoint predefinita consente l’accesso completo ad Amazon S3 da parte di utenti o servizi nel VPC. Durante o dopo la creazione dell’endpoint, puoi facoltativamente collegare all’endpoint una policy basata sulle risorse per aggiungere restrizioni, ad esempio consentire all’endpoint di accedere solo a un bucket specifico o consentire solo a un ruolo IAM specifico di accedere all’endpoint. Per esempi, consulta Modifica della policy di endpoint VPC.

    Di seguito è riportato un esempio di policy che puoi collegare all’endpoint VPC per consentirgli di accedere solo al bucket contenente i pesi del tuo modello.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RestrictAccessToModelWeightsBucket",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::model-weights-bucket",
                "arn:aws:s3:::model-weights-bucket/*"
            ]
        }
    ]
}

Collegare le autorizzazioni VPC a un ruolo di importazione dei modelli personalizzati.

Dopo aver completato la configurazione del VPC e dell’endpoint, devi assegnare le seguenti autorizzazioni al ruolo IAM di importazione dei modelli. Modifica questa policy per consentire l’accesso solo alle risorse VPC necessarie per il processo. Sostituisci subnet-ids e security-group-id con i valori del tuo VPC.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:123456789012:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/BedrockManaged": [
                        "true"
                    ]
                },
                "ArnEquals": {
                    "aws:RequestTag/BedrockModelImportJobArn": [
                        "arn:aws:bedrock:us-east-1:123456789012:model-import-job/*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id",
                "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id2",
                "arn:aws:ec2:us-east-1:123456789012:security-group/security-group-id"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission"
            ],
            "Resource": "*",
            "Condition": {
                "ArnEquals": {
                    "ec2:Subnet": [
                        "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id",
                        "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id2"
                    ],
                    "ec2:ResourceTag/BedrockModelImportJobArn": [
                        "arn:aws:bedrock:us-east-1:123456789012:model-import-job/*"
                    ]
                },
                "StringEquals": {
                    "ec2:ResourceTag/BedrockManaged": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelImportJobArn"
                    ]
                }
            }
        }
    ]
}

Aggiungere la configurazione VPC durante l’invio di un processo di importazione dei modelli

Dopo aver configurato il VPC, le autorizzazioni e i ruoli richiesti come descritto nelle sezioni precedenti, puoi creare un processo di personalizzazione dei modelli che utilizza questo VPC.

Quando specifichi le sottoreti VPC e i gruppi di sicurezza per un job, Amazon Bedrock crea interfacce di rete elastiche (ENIs) associate ai tuoi gruppi di sicurezza in una delle sottoreti. ENIs consenti al job Amazon Bedrock di connettersi alle risorse nel tuo VPC. Per informazioni su ENIs, consulta Elastic Network Interfaces nella Amazon VPC User Guide. Tag Amazon Bedrock con ENIs cui crea BedrockManaged e BedrockModelImportJobArn tag.

Si consiglia di fornire almeno una sottorete in ogni zona di disponibilità.

È possibile utilizzare i gruppi di sicurezza per stabilire delle regole per controllare l’accesso di Amazon Bedrock alle risorse VPC.

È possibile configurare il VPC da utilizzare nella console o tramite l’API. Scegli la scheda relativa al metodo che preferisci, quindi segui la procedura:

Console

Per la console Amazon Bedrock, devi specificare le sottoreti e i gruppi di sicurezza VPC nella sezione facoltativa Impostazioni VPC quando crei il processo di importazione dei modelli. Per ulteriori informazioni sulla configurazione dei processi di importazione dei modelli, consulta Inviare un processo di importazione del modello.

API

Quando invii una CreateModelCustomizationJobrichiesta, puoi includere un parametro VpcConfig come richiesta per specificare le sottoreti VPC e i gruppi di sicurezza da utilizzare, come nell'esempio seguente.

"VpcConfig": { 
"SecurityGroupIds": [
    "sg-0123456789abcdef0"
    ],
    "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
     ]
 }