Schützen von Aufträgen zur Modellanpassung mithilfe einer VPC - Amazon Bedrock
Richten Sie eine VPC einErstellen eines Amazon S3 VPC-Endpunkts(Optional) Verwenden Sie IAM-Richtlinien, um den Zugriff auf Ihre S3-Dateien einzuschränkenAnfügen von VPC-Berechtigungen an eine ModellanpassungsrolleFügen Sie die VPC-Konfiguration hinzu, wenn Sie einen Auftrag zur Modellanpassung einreichen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schützen von Aufträgen zur Modellanpassung mithilfe einer VPC

Wenn Sie einen Modellanpassungsauftrag ausführen, greift der Auftrag auf Ihren Amazon-S3-Bucket zu, um die Eingabedaten herunter- und Auftragsmetriken hochzuladen. Um den Zugriff auf Ihre Daten zu steuern, empfehlen wir Ihnen, eine Virtual Private Cloud (VPC) mit Amazon VPC zu verwenden. Sie können Ihre Daten weiter schützen, indem Sie Ihre VPC so konfigurieren, dass Ihre Daten nicht über das Internet verfügbar sind, und stattdessen einen VPC-Schnittstellenendpunkt mit erstellenAWS PrivateLink, um eine private Verbindung zu Ihren Daten herzustellen. Weitere Informationen zur AWS PrivateLink Integration von Amazon VPC und in Amazon Bedrock finden Sie unter Schützen Ihrer Daten mit Amazon VPC und AWS PrivateLink.

Führen Sie die folgenden Schritte aus, um eine VPC für die Trainings-, Validierungs- und Ausgabedaten für Ihre Modellanpassungsaufträge zu konfigurieren und zu verwenden.

Richten Sie eine VPC ein

Sie können eine Standard-VPC für Ihre Modellanpassungsdaten verwenden oder eine neue VPC erstellen, indem Sie den Anweisungen unter Erste Schritte mit Amazon VPC und Erstellen einer VPC folgen.

Wenn Sie Ihre VPC erstellen, empfehlen wir Ihnen, die Standard-DNS-Einstellungen für Ihre Endpunkt-Routing-Tabelle zu verwenden, damit Standard-Amazon S3-URLs (z. B. http://s3-aws-region.amazonaws.com/training-bucket) aufgelöst werden.

Erstellen eines Amazon S3 VPC-Endpunkts

Wenn Sie Ihre VPC ohne Internetzugang konfigurieren, müssen Sie einen Amazon S3-VPC-Endpunkt erstellen, damit Ihre Modellanpassungsaufträge auf die S3-Buckets zugreifen können, die Ihre Trainings- und Validierungsdaten speichern und die Modellartefakte speichern.

Erstellen Sie den S3-VPC-Endpunkt, indem Sie die Schritte unter Erstellen eines Gateway-Endpunkts für Amazon S3 ausführen.

Anmerkung

Wenn Sie nicht die Standard-DNS-Einstellungen für Ihre VPC verwenden, müssen Sie sicherstellen, dass die URLs für die Speicherorte der Daten in Ihren Trainingsaufträgen aufgelöst werden, indem Sie die Endpunkt-Routing-Tabellen konfigurieren. Weitere Informationen zu Routing-Tabellen für VPC-Endpunkte finden Sie unter Routing für Gateway-Endpunkte.

(Optional) Verwenden Sie IAM-Richtlinien, um den Zugriff auf Ihre S3-Dateien einzuschränken

Sie können ressourcenbasierte Richtlinien verwenden, um den Zugriff auf Ihre S3-Dateien genauer zu steuern. Sie können eine beliebige Kombination der folgenden Arten von ressourcenbasierten Richtlinien verwenden.

  • Endpunktrichtlinien – Endpunktrichtlinien beschränken den Zugriff über den VPC-Endpunkt. Standardmäßig wird über die Endpunktrichtlinie allen Benutzern oder Services in Ihrer VPC Vollzugriff auf Amazon S3 gewährt. Beim Erstellen oder nachdem Sie den Endpunkt erstellt haben, können Sie optional eine ressourcenbasierte Richtlinie an den Endpunkt anfügen, um Einschränkungen hinzuzufügen, z. B. nur dem Endpunkt den Zugriff auf einen bestimmten Bucket oder nur einer bestimmten IAM-Rolle den Zugriff auf den Endpunkt zu erlauben. Beispiele finden Sie unter Bearbeiten der VPC-Endpunktrichtlinie.

    Im Folgenden finden Sie eine Beispielrichtlinie, die Sie an Ihren VPC-Endpunkt anfügen können, um ihm nur den Zugriff auf den Bucket zu erlauben, der Ihre Trainingsdaten enthält.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictAccessToTrainingBucket",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::training-bucket",
                "arn:aws:s3:::training-bucket/*"
            ]
        }
    ]
}

  • Bucket-Richtlinien – Bucket-Richtlinien beschränken den Zugriff auf S3-Buckets. Sie können eine Bucket-Richtlinie verwenden, um den Zugriff auf Datenverkehr von Ihrer VPC einzuschränken. Um eine Bucket-Richtlinie anzufügen, folgen Sie den Schritten unter Verwenden von Bucket-Richtlinien und verwenden Sie die Bedingungsschlüssel aws:sourceVpc , aws:sourceVpce oder aws:VpcSourceIp. Beispiele finden Sie unter Steuern des Zugriffs mithilfe von Bucket-Richtlinien.

    Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die Sie an den S3-Bucket anfügen können, der Ihre Ausgabedaten enthält, um den gesamten Datenverkehr zum Bucket zu verweigern, sofern er nicht von Ihrer VPC stammt.

    {
    "Version": "2012-10-17",
    "Statement": [{
    "Sid": "RestrictAccessToOutputBucket",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::output-bucket",
                "arn:aws:s3:::output-bucket/*"
            ],
            "Condition": {
                "StringNotEquals": {
                  "aws:sourceVpc": "your-vpc-id"
                }
            }
        }
    ]
}

Anfügen von VPC-Berechtigungen an eine Modellanpassungsrolle

Nachdem Sie Ihre VPC und Ihren Endpunkt eingerichtet haben, müssen Sie Ihrer IAM-Rolle zur Modellanpassung die folgenden Berechtigungen anfügen. Ändern Sie diese Richtlinie, um nur Zugriff auf die VPC-Ressourcen zu gewähren, die Ihr Auftrag benötigt. Ersetzen Sie die Subnetz-IDs und security-group-id durch die Werte aus Ihrer VPC.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
                    ],
            "Resource": "*"
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
            ],
            "Resource":[
               "arn:aws:ec2:region:account-id:network-interface/*"
            ],
            "Condition": {
               "StringEquals": { 
                   "aws:RequestTag/BedrockManaged": ["true"]
                },
                "ArnEquals": {
                   "aws:RequestTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:region:account-id:model-customization-job/*"]
               }
            }
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
            ],
            "Resource":[
               "arn:aws:ec2:region:account-id:subnet/subnet-id",
               "arn:aws:ec2:region:account-id:subnet/subnet-id2",
               "arn:aws:ec2:region:account-id:security-group/security-group-id"
            ]
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
            ],
            "Resource": "*",
            "Condition": {
               "ArnEquals": {
                   "ec2:Subnet": [
                       "arn:aws:ec2:region:account-id:subnet/subnet-id",
                       "arn:aws:ec2:region:account-id:subnet/subnet-id2"
                   ],
                   "ec2:ResourceTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:region:account-id:model-customization-job/*"]
               },
               "StringEquals": { 
                   "ec2:ResourceTag/BedrockManaged": "true"
               }
            }
        }, 
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:region:account-id:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]    
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelCustomizationJobArn"
                    ]
                }
         }
    ]
}

Fügen Sie die VPC-Konfiguration hinzu, wenn Sie einen Auftrag zur Modellanpassung einreichen

Nachdem Sie die VPC und die erforderlichen Rollen und Berechtigungen wie in den vorherigen Abschnitten beschrieben konfiguriert haben, können Sie einen Modellanpassungsauftrag erstellen, der diese VPC verwendet.

Wenn Sie die VPC-Subnetze und Sicherheitsgruppen festlegen, erstellt Amazon Bedrock Elastic Network-Schnittstellen (ENIs), die Ihren Sicherheitsgruppen in einem der Subnetze zugeordnet sind. ENIs ermöglichen es dem Amazon-Bedrock-Auftrag, eine Verbindung mit Ressourcen in Ihrer VPC herzustellen. Weitere Informationen über ENIs finden Sie unter Elastic-Network-Schnittstellen im Amazon-VPC-Benutzerhandbuch. Amazon Bedrock kennzeichnet die von ihm erstellten ENIs mit BedrockManaged- und BedrockModelCusomizationJobArn-Tags.

Wir empfehlen, mindestens ein Subnetz in jeder Availability Zone zur Verfügung zu stellen.

Sie können Sicherheitsgruppen verwenden, um Regeln für die Steuerung des Zugriffs von Amazon Bedrock auf Ihre VPC-Ressourcen festzulegen.

Sie können die VPC so konfigurieren, dass sie entweder in der Konsole oder über die API verwendet wird. Wählen Sie die Registerkarte aus, die Ihrer gewählten Methode entspricht, und folgen Sie den Schritten.

Console

Für die Amazon-Bedrock-Konsole geben Sie VPC-Subnetze und Sicherheitsgruppen im optionalen Abschnitt VPC-Einstellungen an, wenn Sie den Modellanpassungsauftrag erstellen. Weitere Informationen zum Konfigurieren von Aufträgen finden Sie unter Reichen Sie einen Job zur Modellanpassung ein.

Anmerkung

Für einen Auftrag, der eine VPC-Konfiguration enthält, kann die Konsole nicht automatisch eine Servicerolle für Sie erstellen. Folgen Sie den Anweisungen unter Erstellen Sie eine Servicerolle für die Modellanpassung, um eine benutzerdefinierte Rolle zu erstellen.

API

Wenn Sie eine -CreateModelCustomizationJobAnforderung senden, können Sie einen VpcConfig als Anforderungsparameter einschließen, um die zu verwendenden VPC-Subnetze und Sicherheitsgruppen anzugeben, wie im folgenden Beispiel.

"VpcConfig": { 
"SecurityGroupIds": [
    "sg-0123456789abcdef0"
],
"Subnets": [
    "subnet-0123456789abcdef0",
    "subnet-0123456789abcdef1",
    "subnet-0123456789abcdef2"
]
}