本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 VPC 保护批量推理作业
当您运行批量推理作业时,该作业会访问您的 Amazon S3 存储桶以下载输入数据并写入输出数据。要控制对数据的访问,我们建议您使用通过 [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 创建的虚拟私有云(VPC)。您可以对 VPC 进行配置,确保数据无法通过互联网访问,然后使用 [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) 创建 VPC 接口端点以建立与数据的私有连接,从而进一步保护您的数据。有关 Amazon VPC 和如何与 Amazon Bedrock AWS PrivateLink 集成的更多信息,请参阅[使用 Amazon VPC 和 AWS PrivateLink 保护您的数据](usingVPC.md)。
按照以下步骤配置和使用 VPC,以便保护批量推理作业的输入提示和输出模型响应。
**Topics**
+ [设置 VPC 以在批量推理过程中保护您的数据](#batch-vpc-setup)
+ [将 VPC 权限附加到批量推理角色](#batch-vpc-role)
+ [在提交批量推理作业时添加 VPC 配置](#batch-vpc-config)
## 设置 VPC 以在批量推理过程中保护您的数据
要设置 VPC,请按照[设置 VPC](usingVPC.md#create-vpc)中的步骤操作。您可以按照[(示例)使用 VPC 限制对 Amazon S3 数据的访问](vpc-s3.md)中的步骤设置 S3 VPC 端点,并使用基于资源的 IAM 策略来限制对包含批量推理数据的 S3 存储桶的访问,从而进一步保护您的 VPC。
## 将 VPC 权限附加到批量推理角色
完成 VPC 设置后,将以下权限附加到您的[批量推理服务角色](batch-iam-sr.md),以便允许其访问该 VPC。修改此策略,以仅允许访问作业所需的 VPC 资源。将*subnet-ids*和*security-group-id*替换为您的 VPC 中的值。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "2",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"arn:aws:ec2:us-east-1:123456789012:subnet/${{subnet-id}}",
"arn:aws:ec2:us-east-1:123456789012:security-group/${{security-group-id}}"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/BedrockManaged": [
"true"
]
},
"ArnEquals": {
"aws:RequestTag/BedrockModelInvocationJobArn": [
"arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
]
}
}
},
{
"Sid": "3",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"ec2:Subnet": [
"arn:aws:ec2:us-east-1:123456789012:subnet/${{subnet-id}}"
]
},
"ArnEquals": {
"ec2:ResourceTag/BedrockModelInvocationJobArn": [
"arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
]
}
}
},
{
"Sid": "4",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": [
"CreateNetworkInterface"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"BedrockManaged",
"BedrockModelInvocationJobArn"
]
}
}
}
]
}
```
------
## 在提交批量推理作业时添加 VPC 配置
按照前几节所述配置 VPC 以及所需的角色和权限后,您可以创建使用此 VPC 的批量推理作业。
**注意**
目前,在创建批量推理作业时,您只能通过 API 使用 VPC。
当您为任务指定 VPC 子网和安全组时,Amazon Bedrock 会在其中一个子*网中创建与您的安全组关联的弹性网络接口* (ENIs)。 ENIs 允许 Amazon Bedrock 任务连接到您的 VPC 中的资源。有关信息 ENIs,请参阅 *Amazon VPC 用户指南*中的[弹性网络接口](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html)。它创建的 Amazon Bedrock 标签 ENIs `BedrockManaged`和`BedrockModelInvocationJobArn`标签。
我们建议您至少在每个可用区中提供一个子网。
您可以使用安全组来制定规则,以控制 Amazon Bedrock 对您的 VPC 资源的访问。
提交请求时,您可以将`VpcConfig`作为[CreateModelInvocationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelInvocationJob.html)请求参数包括在内,以指定要使用的 VPC 子网和安全组,如以下示例所示。
```
"vpcConfig": {
"securityGroupIds": [
"sg-0123456789abcdef0"
],
"subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
]
}
```