Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheit in Amazon Bedrock
Cloud-Sicherheit bei AWS hat höchste Priorität. Als - AWS Kunde profitieren Sie von Rechenzentren und Netzwerkarchitekturen, die entwickelt wurden, um die Anforderungen der sicherheitssensibelsten Organisationen zu erfüllen.
Sicherheit ist eine geteilte Verantwortung zwischen AWS und Ihnen. Das Modell der geteilten Verantwortung
-
Sicherheit der Cloud – AWS ist für den Schutz der Infrastruktur verantwortlich, die AWS Services in der ausführt AWS Cloud. stellt Ihnen AWS außerdem Services bereit, die Sie sicher nutzen können. Externe Prüfer testen und überprüfen im Rahmen der AWS Compliance-Programme
regelmäßig die Wirksamkeit unserer Sicherheit. Informationen zu den Compliance-Programmen, die für Amazon Bedrock gelten, finden Sie unter AWS Im Rahmen des Compliance-Programms zugelassene -ServicesIm . -
Sicherheit in der Cloud – Ihre Verantwortung wird durch den - AWS Service bestimmt, den Sie verwenden. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation zeigt Ihnen, wie Sie das Modell der geteilten Verantwortung bei der Verwendung von Amazon Bedrock anwenden können. Die folgenden Themen veranschaulichen, wie Sie Amazon Bedrock zur Erfüllung Ihrer Sicherheits- und Compliance-Ziele konfigurieren können. Sie erfahren auch, wie Sie andere - AWS Services verwenden, die Sie bei der Überwachung und Sicherung Ihrer Amazon-Bedrock-Ressourcen unterstützen.
Themen
- Datenschutz
- Identity and Access Management für Amazon Bedrock
- Compliance-Validierung für Amazon Bedrock
- Vorfallreaktion in Amazon Bedrock
- Ausfallsicherheit von Amazon Bedrock
- Infrastruktursicherheit in Amazon Bedrock
- Serviceübergreifende Confused-Deputy-Prävention
- Konfigurations- und Schwachstellenanalyse in Amazon Bedrock
- Verwenden von Schnittstellen-VPC-Endpunkten (AWS PrivateLink)
Verwenden von Schnittstellen-VPC-Endpunkten (AWS PrivateLink)
Sie können verwenden AWS PrivateLink , um eine private Verbindung zwischen Ihrer VPC und Amazon Bedrock herzustellen. Sie können auf Amazon Bedrock zugreifen, als wäre es in Ihrer VPC, ohne die Verwendung eines Internet-Gateways, NAT-Geräts, einer VPN-Verbindung oder einer - AWS Direct Connect Verbindung. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen für den Zugriff auf Amazon Bedrock.
Sie stellen diese private Verbindung her, indem Sie einen Schnittstellen-Endpunkt erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Hierbei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Eingangspunkt für den Datenverkehr dienen, der für Amazon Bedrock bestimmt ist.
Weitere Informationen finden Sie unter Zugriff AWS-Services über AWS PrivateLink im AWS PrivateLink -Handbuch.
Überlegungen zu VPC-Endpunkten von Amazon Bedrock
Bevor Sie einen Schnittstellenendpunkt für Amazon Bedrock einrichten, sehen Sie sich die Überlegungen im AWS PrivateLink -Leitfaden an.
Amazon Bedrock unterstützt die folgenden API-Aufrufe über VPC-Endpunkte.
| Kategorie | Endpunktpräfix |
|---|---|
| API-Aktionen der Steuerebene für Amazon Bedrock | bedrock |
| Runtime-API-Aktionen für Amazon Bedrock | bedrock-runtime |
| Agents für Amazon-Bedrock-Build-Time-API-Aktionen | bedrock-agent |
| Runtime-API-Aktionen für Agents für AmazonBedrock | bedrock-agent-runtime |
Availability Zones
Endpunkte von Amazon Bedrock und Agents für Amazon Bedrock sind in mehreren Availability Zones verfügbar.
Erstellen eines Schnittstellenendpunkts für Amazon Bedrock
Sie können einen Schnittstellenendpunkt für Amazon Bedrock entweder über die Amazon-VPC-Konsole oder die AWS Command Line Interface (AWS CLI) erstellen. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts im AWS PrivateLink -Leitfaden.
Erstellen Sie einen Schnittstellenendpunkt für Amazon Bedrock mit einem der folgenden Servicenamen:
-
com.amazonaws.region.bedrock -
com.amazonaws.region.bedrock-runtime -
com.amazonaws.region.bedrock-agent -
com.amazonaws.region.bedrock-agent-runtime
Nachdem Sie den Endpunkt erstellt haben, haben Sie die Möglichkeit, einen privaten DNS-Hostnamen zu aktivieren. Aktivieren Sie diese Einstellung, indem Sie Privaten DNS-Namen aktivieren in der VPC-Konsole auswählen, wenn Sie den VPC-Endpunkt erstellen.
Wenn Sie privates DNS für den Schnittstellenendpunkt aktivieren, können Sie API-Anfragen an Amazon Bedrock unter Verwendung seines standardmäßigen regionalen DNS-Namens stellen. Die folgenden Beispiele zeigen das Format der standardmäßigen regionalen DNS-Namen.
-
bedrock.region.amazonaws.com -
bedrock-runtime.region.amazonaws.com -
bedrock-agent.region.amazonaws.com -
bedrock-agent-runtime.region.amazonaws.com
Erstellen einer Endpunktrichtlinie für Ihren Schnittstellen-Endpunkt
Eine Endpunktrichtlinie ist eine IAM-Ressource, die Sie an einen Schnittstellen-Endpunkt anfügen können. Die Standard-Endpunktrichtlinie ermöglicht den vollständigen Zugriff auf Amazon Bedrock über den Schnittstellenendpunkt. Wenn Sie den Zugriff auf Amazon Bedrock von Ihrer VPC aus steuern möchten, fügen Sie eine benutzerdefinierte Endpunktrichtlinie an den Schnittstellenendpunkt an.
Eine Endpunktrichtlinie gibt die folgenden Informationen an:
-
Die Prinzipale, die Aktionen ausführen können (AWS-Konten, IAM-Benutzer und IAM-Rollen).
-
Aktionen, die ausgeführt werden können
-
Die Ressourcen, auf denen die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit Endpunktrichtlinien im AWS PrivateLink -Leitfaden.
Beispiel: VPC-Endpunktrichtlinie für Amazon-Bedrock-Aktionen
Im Folgenden finden Sie ein Beispiel für eine benutzerdefinierte Endpunktrichtlinie. Wenn Sie diese ressourcenbasierte Richtlinie an Ihren Schnittstellenendpunkt anfügen, gewährt sie Zugriff auf die aufgelisteten Amazon-Bedrock-Aktionen für alle Prinzipale auf allen Ressourcen.
{ "Version": "2012-10-17", "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource":"*" } ] }
