本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 VPC 保護批次推論任務
當您執行批次推論任務時,任務會存取您的 Amazon S3 儲存貯體,以下載輸入資料並寫入輸出資料。若要控制對資料的存取,建議您使用虛擬私有雲端 (VPC) 搭配 [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)。您可以透過設定 VPC 進一步保護資料,使得資料無法透過網際網路取得,並使用 [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) 建立 VPC 介面端點,以建立資料的私有連結。如需 Amazon VPC 和 如何與 Amazon Bedrock AWS PrivateLink 整合的詳細資訊,請參閱 [使用 Amazon VPC 和 AWS PrivateLink 保護資料](usingVPC.md)。
執行下列步驟,為批次推論任務的輸入提示和輸出模型回應設定和使用 VPC。
**Topics**
+ [設定 VPC 以在批次推論期間保護您的資料](#batch-vpc-setup)
+ [將 VPC 許可連接至批次推論角色](#batch-vpc-role)
+ [提交批次推論任務時新增 VPC 組態](#batch-vpc-config)
## 設定 VPC 以在批次推論期間保護您的資料
若要設定 VPC,請遵循[設定 VPC](usingVPC.md#create-vpc) 中的步驟。您可以進一步保護 VPC,方法是設定 S3 VPC 端點,並使用資源型 IAM 政策,依照 [(範例) 使用 VPC 存取限制對 Amazon S3 資料的資料存取權](vpc-s3.md) 中的步驟,限制對包含批次推論資料的 S3 儲存貯體的存取。
## 將 VPC 許可連接至批次推論角色
完成設定 VPC 之後,請將下列許可連接至[批次推論服務角色](batch-iam-sr.md),以允許其存取 VPC。修改此政策,僅允許存取任務所需的 VPC 資源。將 *subnet-ids* 和 *security-group-id* 取代為 VPC 中的值。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "2",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"arn:aws:ec2:us-east-1:123456789012:subnet/${{subnet-id}}",
"arn:aws:ec2:us-east-1:123456789012:security-group/${{security-group-id}}"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/BedrockManaged": [
"true"
]
},
"ArnEquals": {
"aws:RequestTag/BedrockModelInvocationJobArn": [
"arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
]
}
}
},
{
"Sid": "3",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"ec2:Subnet": [
"arn:aws:ec2:us-east-1:123456789012:subnet/${{subnet-id}}"
]
},
"ArnEquals": {
"ec2:ResourceTag/BedrockModelInvocationJobArn": [
"arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
]
}
}
},
{
"Sid": "4",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": [
"CreateNetworkInterface"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"BedrockManaged",
"BedrockModelInvocationJobArn"
]
}
}
}
]
}
```
------
## 提交批次推論任務時新增 VPC 組態
依照前幾節所述設定 VPC 以及必要的角色和許可之後,您可以建立使用此 VPC 的批次推論任務。
**注意**
目前,建立批次推論任務時,您只能透過 API 使用 VPC。
當您指定 VPC 子網路和安全群組時,Amazon Bedrock 會在其中一個子網路內建立與安全群組相關聯的*彈性網路介面*(ENI)。ENI 允許 Amazon Bedrock 工作連線至 VPC 中的資源。如需 ENI 的相關資訊,請參閱 *Amazon VPC 使用者指南*中的[彈性網路介面](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html)。Amazon Bedrock 使用 `BedrockManaged` 和 `BedrockModelInvocationJobArn` 標籤標記它建立的 ENI。
建議您在每個可用區域中至少提供一個子網路。
您可以使用安全群組建立規則,以控制 Amazon Bedrock 對 VPC 資源的存取。
當您提交 [CreateModelInvocationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelInvocationJob.html) 請求時,您可以包含 `VpcConfig` 作為請求參數,以指定要使用的 VPC 子網路和安全群組,如下列範例所示。
```
"vpcConfig": {
"securityGroupIds": [
"sg-0123456789abcdef0"
],
"subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
]
}
```