适用于 Amazon Braket 的 Amazon VPC 端点 - Amazon Braket
Amazon Braket VPC 端点注意事项设置 Braket 和 PrivateLink有关创建端点的其他信息使用 Amazon VPC 端点策略控制访问

适用于 Amazon Braket 的 Amazon VPC 端点

您可以通过创建接口 VPC 端点,在 Amazon VPC 与 Amazon Braket 之间建立私有连接。接口端点由 AWS PrivateLink 提供支持,您可以使用该技术在没有互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接的情况下私密访问 Braket API。VPC 中的实例即使没有公有 IP 地址也可与 Braket API 进行通信。

每个接口端点均由子网中的一个或多个弹性网络接口表示。

使用 AWS PrivateLink,您的 VPC 和 Braket 之间的流量不会离开 Amazon 网络,这可以提高您与基于云的应用程序共享的数据的安全性,因为它可以减少您的数据暴露在公共互联网上的风险。有关更多信息,请参阅《Amazon VPC 用户指南》中的使用接口 VPC 端点访问 AWS 服务

请务必先查看《Amazon VPC 用户指南》中的接口端点先决条件,然后再为 Braket 连接设置接口 VPC 端点。

Braket 支持从 VPC 调用它的所有 API 操作。

默认情况下,允许通过 VPC 端点对 Braket 进行完全访问。如果您指定 VPC 端点策略,则可以控制访问。有关更多信息,请参阅《Amazon VPC 用户指南》中的使用端点策略控制对 VPC 端点的访问

要使用 AWS PrivateLink Amazon Braket,您必须创建一个 Amazon Virtual Private Cloud (Amazon VPC) 端点作为接口,然后通过 Amazon Braket API 服务连接到该端点。

以下是该过程的一般步骤,将在后面的章节中详细介绍。

  • 配置并启动 Amazon VPC 来托管您的 AWS 资源。如果您已有 VPC,请跳过此步骤。

  • 为 Braket 创建 Amazon VPC 端点

  • 通过您的端点连接并运行 Braket 量子任务

步骤 1:如果需要,启动 Amazon VPC

请记住,如果您的账户已有 VPC 在运行,则可以跳过此步骤。

使用 VPC 控制您的网络设置,例如 IP 地址范围、子网、路由表和网络网关。本质上,您是在自定义虚拟网络中启动 AWS 资源。有关 VPC 的更多信息,请参阅《Amazon VPC 用户指南》

打开 Amazon VPC 控制台,创建一个包含子网、安全组和网络网关的新 VPC。

第 2 步:创建 Braket 接口 VPC 端点

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 服务创建 VPC 端点。有关更多信息,请参阅 Amazon VPC 用户指南中的创建 VPC 端点

要在控制台中创建 VPC 端点,请打开 Amazon VPC 控制台,打开端点页面,然后继续创建新的端点。记下端点 ID 以供日后参考。当您对 Braket API 进行某些调用时,它必须作为 —endpoint-url 标志的一部分。

使用以下服务名称为 Braket 创建 VPC 端点:

  • com.amazonaws.substitute_your_region.braket

有关更多信息,请参阅《Amazon VPC 用户指南》中的使用接口 VPC 端点访问 AWS 服务

第 3 步:通过端点连接并运行 Braket 量子任务

在创建 VPC 端点后,您可以使用以下示例之类的 CLI 命令,包括指定 API 或运行时接口端点的 endpoint-url 参数:

aws braket search-quantum-tasks --endpoint-url VPC_Endpoint_ID.braket.substituteYourRegionHere.vpce.amazonaws.com

如果为 VPC 端点启用专用 DNS 主机名,您不需要指定端点作为 CLI 命令的 URL。相反,CLI 和 Braket SDK 默认使用的 Amazon Braket API DNS 主机名会解析到您的 VPC 端点。它的格式如下例所示:

https://braket.substituteYourRegionHere.amazonaws.com

这篇名为“使用端点从亚马逊 VPC 直接访问 Amazon SageMaker AI 笔记本”的博客文章提供了AWS PrivateLink一个示例,说明了如何设置端点以安全连接到 SageMaker 笔记本,这与 Amazon Braket 笔记本类似。

如果您正在按照博客文章中的步骤进行操作,请记得用 Amazon Braket 这个名字代替 Amazon SageMaker AI。如果您的区域不是 us-east-1,请在服务名称中输入 com.amazonaws.us-east-1.braket,或将您的正确的 AWS 区域 名称替换为该字符串。

有关创建端点的其他信息

  • 有关创建具有私有子网的 VPC 的信息,请参阅创建具有私有子网的 VPC

  • 有关使用 Amazon VPC 控制台或 AWS CLI 创建和配置端点的信息,请参阅《Amazon VPC 用户指南》中的创建 VPC 端点

  • 有关使用 CloudFormation 创建和配置端点的信息,请参阅《CloudFormation 用户指南》中的 AWS::EC2::VPCEndpoint 资源。

使用 Amazon VPC 端点策略控制访问

要控制对 Amazon Braket 的连接访问,您可以在创建 Amazon VPC 端点时附加 AWS Identity and Access Management(IAM)端点策略。该策略指定以下信息:

  • 可以执行操作的主体(用户或角色)。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅《Amazon VPC 用户指南》中的使用端点策略控制对 VPC 端点的访问

示例:操作的 VPC 端点策略

下面是用于 Braket 的端点策略的示例。当附加到端点时,此策略会向所有资源上的所有主体授予对列出的 Braket 操作的访问权限。

{
 "Statement":[
 {
   "Principal":"*",
   "Effect":"Allow",
   "Action":[
     “braket:action-1",
     “braket:action-2",
     “braket:action-3”
     ],
   "Resource":"*"
   }
  ]
}

您可以通过附加多个端点策略来创建复杂的 IAM 规则。有关更多信息以及示例,请参阅: