As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Proteger trabalhos de inferência em lote usando uma VPC
Quando executa um trabalho de inferência em lote, o trabalho acessa o bucket do Amazon S3 para baixar os dados de entrada e gravar os dados de saída. Para controlar o acesso aos dados, é recomendável usar uma nuvem privada virtual (VPC) com a [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html). É possível proteger ainda mais os dados configurando a VPC para que os dados não fiquem disponíveis pela internet e, em vez disso, criar um endpoint da VPC de interface com [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) para estabelecer uma conexão privada com os dados. Para obter mais informações sobre como o Amazon VPC e a AWS PrivateLink integração com o Amazon Bedrock, consulte. [Proteja os dados usando a Amazon VPC e o AWS PrivateLink](usingVPC.md)
Execute as etapas a seguir a fim de configurar e usar uma VPC para os prompts de entrada e as respostas do modelo de saída para os trabalhos de inferência em lote.
**Topics**
+ [Configurar a VPC para proteger os dados durante a inferência em lote](#batch-vpc-setup)
+ [Anexar as permissões da VPC a uma função de inferência em lote](#batch-vpc-role)
+ [Adicionar a configuração da VPC ao enviar um trabalho de inferência em lote](#batch-vpc-config)
## Configurar a VPC para proteger os dados durante a inferência em lote
Para configurar uma VPC, siga as etapas em [Configurar uma VPC](usingVPC.md#create-vpc). É possível proteger ainda mais a VPC configurando um endpoint de VPC do S3 e usando políticas do IAM baseadas em recurso para restringir o acesso ao bucket do S3 que contém os dados de inferência em lote, seguindo as etapas em [(Exemplo) Restringir o acesso aos dados do Amazon S3 usando a VPC](vpc-s3.md).
## Anexar as permissões da VPC a uma função de inferência em lote
Depois de concluir a configuração da VPC, anexe as permissões a seguir ao [perfil de serviço de inferência em lote](batch-iam-sr.md) para permitir que ele acesse a VPC. Modifique essa política para permitir acesso apenas aos recursos da VPC necessários para o trabalho. Substitua *subnet-ids* e *security-group-id* pelos valores da sua VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "2",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"arn:aws:ec2:us-east-1:123456789012:subnet/${{subnet-id}}",
"arn:aws:ec2:us-east-1:123456789012:security-group/${{security-group-id}}"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/BedrockManaged": [
"true"
]
},
"ArnEquals": {
"aws:RequestTag/BedrockModelInvocationJobArn": [
"arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
]
}
}
},
{
"Sid": "3",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"ec2:Subnet": [
"arn:aws:ec2:us-east-1:123456789012:subnet/${{subnet-id}}"
]
},
"ArnEquals": {
"ec2:ResourceTag/BedrockModelInvocationJobArn": [
"arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
]
}
}
},
{
"Sid": "4",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": [
"CreateNetworkInterface"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"BedrockManaged",
"BedrockModelInvocationJobArn"
]
}
}
}
]
}
```
------
## Adicionar a configuração da VPC ao enviar um trabalho de inferência em lote
Depois de configurar a VPC e as funções e permissões necessárias, conforme descrito nas seções anteriores, é possível criar um trabalho de inferência em lote que usa essa VPC.
**nota**
Atualmente, ao criar um trabalho de inferência em lote, só é possível usar uma VPC por meio da API.
Quando você especifica as sub-redes VPC e os grupos de segurança para um trabalho, o Amazon Bedrock cria *interfaces de rede elásticas* (ENIs) associadas aos seus grupos de segurança em uma das sub-redes. ENIs permita que o trabalho do Amazon Bedrock se conecte aos recursos em sua VPC. Para obter informações sobre isso ENIs, consulte [Elastic Network Interfaces](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) no Guia do *usuário da Amazon VPC*. Etiquetas Amazon Bedrock com ENIs as quais ele cria `BedrockManaged` e `BedrockModelInvocationJobArn` etiquetas.
Recomendamos que você forneça pelo menos uma sub-rede em cada zona de disponibilidade.
Você pode usar grupos de segurança para estabelecer regras para controlar o acesso do Amazon Bedrock aos recursos da VPC.
Ao enviar uma [CreateModelInvocationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelInvocationJob.html)solicitação, você pode incluir um `VpcConfig` como parâmetro de solicitação para especificar as sub-redes VPC e os grupos de segurança a serem usados, como no exemplo a seguir.
```
"vpcConfig": {
"securityGroupIds": [
"sg-0123456789abcdef0"
],
"subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
]
}
```