VPC をセットアップする Amazon S3 VPC エンドポイントを作成する (オプション) IAM ポリシーを使用して S3 ファイルへのアクセスを制限するカスタムモデルのインポートロールに VPC アクセス許可をアタッチします。モデルのインポートジョブを送信するときに VPC 設定を追加する

(オプション) VPC を使用してカスタムモデルのインポートジョブを保護する

カスタムモデルのインポートジョブを実行すると、ジョブは Amazon S3 バケットにアクセスして入力データをダウンロードし、ジョブメトリクスをアップロードします。データへのアクセスを制御するには、Amazon VPC で仮想プライベートクラウド (VPC) を使用することをお勧めします。データをインターネット経由で利用できないように VPC を設定し、代わりに AWS PrivateLink で VPC インターフェイスエンドポイントを作成してデータへのプライベート接続を確立することで、データをさらに保護することができます。Amazon VPC と Amazon Bedrock AWS PrivateLink の統合方法の詳細については、「」を参照してくださいAmazon VPC とを使用してデータを保護する AWS PrivateLink。

カスタムモデルのインポートに VPC を設定して使用するには、次の手順を実行します。

VPC をセットアップする

「Get started with Amazon VPC」および「VPC の作成」のガイダンスに従って、モデルのインポートデータに「デフォルト VPC」を使用するか、新しい VPC を作成できます。

VPC を作成する際、標準 Amazon S3 URL (例: http://s3-aws-region.amazonaws.com/model-bucket) が解決されるように、エンドポイントルートテーブルにデフォルトの DNS 設定を使うことをお勧めします。

Amazon S3 VPC エンドポイントを作成する

インターネットアクセスなしで VPC を設定する場合は、モデルのインポートジョブが、トレーニングデータと検証データを保存し、モデルアーティファクトを保存する S3 バケットにアクセスできるように、Amazon S3 VPC エンドポイントを作成する必要があります。

「Create a gateway endpoint for Amazon S3」の手順に従って、S3 VPC エンドポイントを作成します。

注記

VPC にデフォルトの DNS 設定を使用しない場合は、エンドポイントルートテーブルを設定することで、トレーニングジョブのデータの場所の URL が解決されるようにする必要があります。VPC エンドポイントルートテーブルについては、「Routing for Gateway endpoints」を参照してください。

(オプション) IAM ポリシーを使用して S3 ファイルへのアクセスを制限する

リソースベースのポリシーを使用して、S3 ファイルへのアクセスをより厳密に制御できます。次のタイプのリソースベースのポリシーを使用できます。

エンドポイントポリシー – エンドポイントポリシーは、VPC エンドポイント経由のアクセスを制限します。デフォルトのエンドポイントポリシーでは、VPC のすべてのユーザーまたはサービスに対して Amazon S3 へのフルアクセスが許可されています。エンドポイントの作成中または作成後に、オプションでリソースベースのポリシーをエンドポイントにアタッチして、エンドポイントが特定のバケットにアクセスできるようにする、または特定の IAM ロールのみがエンドポイントにアクセスできるようにするなど、制限を追加できます。例については、「Edit the VPC endpoint policy」を参照してください。

以下は、モデルの重みを含むバケットへのアクセスのみを許可するように VPC エンドポイントにアタッチできるポリシーの例です。
JSON
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictAccessToModelWeightsBucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::model-weights-bucket", "arn:aws:s3:::model-weights-bucket/*" ] } ] }

カスタムモデルのインポートロールに VPC アクセス許可をアタッチします。

VPC とエンドポイントの設定が完了したら、モデルインポート IAM ロールに次のアクセス許可をアタッチする必要があります。このポリシーを変更して、ジョブに必要な VPC リソースのみへのアクセスを許可します。subnet-ids と security-group-id を VPC からの値で置き換えます。

JSON


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:123456789012:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/BedrockManaged": [
                        "true"
                    ]
                },
                "ArnEquals": {
                    "aws:RequestTag/BedrockModelImportJobArn": [
                        "arn:aws:bedrock:us-east-1:123456789012:model-import-job/*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id",
                "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id2",
                "arn:aws:ec2:us-east-1:123456789012:security-group/security-group-id"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission"
            ],
            "Resource": "*",
            "Condition": {
                "ArnEquals": {
                    "ec2:Subnet": [
                        "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id",
                        "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id2"
                    ],
                    "ec2:ResourceTag/BedrockModelImportJobArn": [
                        "arn:aws:bedrock:us-east-1:123456789012:model-import-job/*"
                    ]
                },
                "StringEquals": {
                    "ec2:ResourceTag/BedrockManaged": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelImportJobArn"
                    ]
                }
            }
        }
    ]
}

モデルのインポートジョブを送信するときに VPC 設定を追加する

これまでのセクションの手順に従って VPC および必要なロールとアクセス許可を設定し終わったら、この VPC を使用するモデルのインポートジョブを作成することができます。

ジョブの VPC サブネットとセキュリティグループを指定すると、Amazon Bedrock はサブネットの 1 つのセキュリティグループに関連付けられた Elastic Network Interface (ENI) を作成します。ENI により、Amazon Bedrock ジョブは VPC 内のリソースに接続できます。ENI については、「Amazon VPC ユーザーガイド」の「Elastic Network Interfaces」を参照してください。Amazon Bedrock は、作成した ENI に BedrockManaged および BedrockModelImportJobArn タグを付けます。

アベイラビリティーゾーンごとに少なくとも 1 つのサブネットを指定することをお勧めします。

セキュリティグループを使用すると、VPC リソースへの Amazon Bedrock のアクセスを制御するためのルールを設定できます。

使用する VPC の設定は、コンソールまたは API 経由のいずれでも行うことができます。任意の方法のタブを選択し、ステップに従います。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

モデルのインポートの前提条件

Submit a model import job