Schützen Ihrer Daten mit Amazon VPC und AWS PrivateLink - Amazon Bedrock
Verwenden von Schnittstellen-VPC-Endpunkten (AWS PrivateLink)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schützen Ihrer Daten mit Amazon VPC und AWS PrivateLink

Um den Zugriff auf Ihre Daten zu steuern, empfehlen wir Ihnen, eine Virtual Private Cloud (VPC) mit Amazon VPC zu verwenden. Die Verwendung einer VPC schützt Ihre Daten und ermöglicht Ihnen die Überwachung des gesamten Netzwerkverkehrs in und aus den AWS Auftragscontainern mithilfe von VPC-Flow-Protokollen. Sie können Ihre Daten weiter schützen, indem Sie Ihre VPC so konfigurieren, dass Ihre Daten nicht über das Internet verfügbar sind, und stattdessen einen VPC-Schnittstellenendpunkt mit erstellenAWS PrivateLink, um eine private Verbindung zu Ihren Daten herzustellen.

Ein Beispiel für die Verwendung von VPC zum Schutz von Daten, die Sie in Amazon Bedrock integrieren, finden Sie unter Schützen von Aufträgen zur Modellanpassung mithilfe einer VPC.

Verwenden von Schnittstellen-VPC-Endpunkten (AWS PrivateLink)

Sie können verwenden AWS PrivateLink , um eine private Verbindung zwischen Ihrer VPC und Amazon Bedrock herzustellen. Sie können auf Amazon Bedrock zugreifen, als wäre es in Ihrer VPC, ohne die Verwendung eines Internet-Gateways, NAT-Geräts, einer VPN-Verbindung oder einer - AWS Direct Connect Verbindung. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen für den Zugriff auf Amazon Bedrock.

Sie stellen diese private Verbindung her, indem Sie einen Schnittstellen-Endpunkt erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Hierbei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Eingangspunkt für den Datenverkehr dienen, der für Amazon Bedrock bestimmt ist.

Weitere Informationen finden Sie unter Zugriff AWS -Services über AWS PrivateLink im AWS PrivateLink -Handbuch.

Überlegungen zu VPC-Endpunkten von Amazon Bedrock

Bevor Sie einen Schnittstellenendpunkt für Amazon Bedrock einrichten, sehen Sie sich die Überlegungen im AWS PrivateLink -Leitfaden an.

Amazon Bedrock unterstützt die folgenden API-Aufrufe über VPC-Endpunkte.

Kategorie Endpunktpräfix
API-Aktionen der Steuerebene für Amazon Bedrock bedrock
Runtime-API-Aktionen für Amazon Bedrock bedrock-runtime
Agents für Amazon Bedrock Build-Time API-Aktionen bedrock-agent
Runtime-API-Aktionen für Agents für AmazonBedrock bedrock-agent-runtime

Availability Zones

Endpunkte von Amazon Bedrock und Agents für Amazon Bedrock sind in mehreren Availability Zones verfügbar.

Erstellen eines Schnittstellenendpunkts für Amazon Bedrock

Sie können einen Schnittstellenendpunkt für Amazon Bedrock entweder über die Amazon-VPC-Konsole oder die AWS Command Line Interface (AWS CLI) erstellen. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts im AWS PrivateLink -Leitfaden.

Erstellen Sie einen Schnittstellenendpunkt für Amazon Bedrock mit einem der folgenden Servicenamen:

  • com.amazonaws.region.bedrock

  • com.amazonaws.region.bedrock-runtime

  • com.amazonaws.region.bedrock-agent

  • com.amazonaws.region.bedrock-agent-runtime

Nachdem Sie den Endpunkt erstellt haben, haben Sie die Möglichkeit, einen privaten DNS-Hostnamen zu aktivieren. Aktivieren Sie diese Einstellung, indem Sie Privaten DNS-Namen aktivieren in der VPC-Konsole auswählen, wenn Sie den VPC-Endpunkt erstellen.

Wenn Sie privates DNS für den Schnittstellenendpunkt aktivieren, können Sie API-Anfragen an Amazon Bedrock unter Verwendung seines standardmäßigen regionalen DNS-Namens stellen. Die folgenden Beispiele zeigen das Format der standardmäßigen regionalen DNS-Namen.

  • bedrock.region.amazonaws.com

  • bedrock-runtime.region.amazonaws.com

  • bedrock-agent.region.amazonaws.com

  • bedrock-agent-runtime.region.amazonaws.com

Erstellen einer Endpunktrichtlinie für Ihren Schnittstellen-Endpunkt

Eine Endpunktrichtlinie ist eine IAM-Ressource, die Sie an einen Schnittstellen-Endpunkt anfügen können. Die Standard-Endpunktrichtlinie ermöglicht den vollständigen Zugriff auf Amazon Bedrock über den Schnittstellenendpunkt. Wenn Sie den Zugriff auf Amazon Bedrock von Ihrer VPC aus steuern möchten, fügen Sie eine benutzerdefinierte Endpunktrichtlinie an den Schnittstellenendpunkt an.

Eine Endpunktrichtlinie gibt die folgenden Informationen an:

  • Die Prinzipale, die Aktionen ausführen können (AWS-Konten, IAM-Benutzer und IAM-Rollen).

  • Aktionen, die ausgeführt werden können

  • Die Ressourcen, auf denen die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit Endpunktrichtlinien im AWS PrivateLink -Leitfaden.

Beispiel: VPC-Endpunktrichtlinie für Amazon-Bedrock-Aktionen

Im Folgenden finden Sie ein Beispiel für eine benutzerdefinierte Endpunktrichtlinie. Wenn Sie diese ressourcenbasierte Richtlinie an Ihren Schnittstellenendpunkt anfügen, gewährt sie Zugriff auf die aufgelisteten Amazon-Bedrock-Aktionen für alle Prinzipale auf allen Ressourcen.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "bedrock:InvokeModel",
            "bedrock:InvokeModelWithResponseStream"
         ],
         "Resource":"*"
      }
   ]
}