Protección de los trabajos de inferencia de lotes mediante una VPC - Amazon Bedrock
Configuración de la VPC para proteger los datos durante la inferencia por lotesAsociación de permisos de VPC a un rol de inferencia por lotesAgregación de la configuración de VPC al enviar un trabajo de inferencia por lotes

Protección de los trabajos de inferencia de lotes mediante una VPC

Cuando ejecuta un trabajo de inferencia por lotes, el trabajo accede a su bucket de Amazon S3 para descargar los datos de entrada y escribir los datos de salida. Para controlar el acceso a sus datos, le recomendamos usar una nube privada virtual (VPC) con Amazon VPC. Puede proteger aún más sus datos configurando la VPC para que no estén disponibles en internet y, en su lugar, crear un punto de conexión de interfaz de la VPC con AWS PrivateLink para establecer una conexión privada con sus datos. Para obtener más información sobre cómo se integran Amazon VPC y AWS PrivateLink con Amazon Bedrock, consulte Protección de los datos con Amazon VPC y AWS PrivateLink.

Realice los siguientes pasos para configurar y usar una VPC para las peticiones de entrada y las respuestas del modelo de salida para sus trabajos de inferencia por lotes.

Configuración de la VPC para proteger los datos durante la inferencia por lotes

Para configurar una VPC, siga los pasos que se indican en Configurar una VPC. Para proteger aún más la VPC configurando un punto de conexión de VPC de S3 y utilizando políticas de IAM basadas en recursos para restringir el acceso al bucket de S3 que contiene sus datos de inferencia por lotes, siga los pasos que se indican en (Ejemplo) Restricción del acceso a los datos de Amazon S3 mediante VPC.

Asociación de permisos de VPC a un rol de inferencia por lotes

Cuando termine de configurar la VPC, asocie los siguientes permisos a su rol de servicio de inferencia por lotes para permitirle acceder a la VPC. Modifique esta política para permitir el acceso solo a los recursos de VPC que necesita su trabajo. Sustituya los subnet-ids y security-group-id por los valores de la VPC.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
                "arn:aws:ec2:us-east-1:123456789012:subnet/${{subnet-id}}",
                "arn:aws:ec2:us-east-1:123456789012:security-group/${{security-group-id}}"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/BedrockManaged": [
                        "true"
                    ]
                },
                "ArnEquals": {
                    "aws:RequestTag/BedrockModelInvocationJobArn": [
                        "arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "3",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:Subnet": [
                        "arn:aws:ec2:us-east-1:123456789012:subnet/${{subnet-id}}"
                    ]
                },
                "ArnEquals": {
                    "ec2:ResourceTag/BedrockModelInvocationJobArn": [
                        "arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
                    ]
                }
            }
        },
        {
            "Sid": "4",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelInvocationJobArn"
                    ]
                }
            }
        }
    ]
}

Agregación de la configuración de VPC al enviar un trabajo de inferencia por lotes

Tras configurar la VPC y los roles y permisos necesarios, tal y como se describe en las secciones anteriores, puede crear un trabajo de inferencia por lotes que utilice esta VPC.

nota

Actualmente, al crear un trabajo de inferencia por lotes, solo puede usar una VPC a través de la API.

Cuando especifique las subredes y los grupos de seguridad de la VPC, Amazon Bedrock crea interfaces de red elásticas (ENI) que se asocian a los grupos de seguridad en una de las subredes. Las ENI permiten que el trabajo de Amazon Bedrock se conecte a los recursos que hay en la VPC. Para obtener más información sobre las ENI, consulte Interfaces de red elásticas en la Guía del usuario de Amazon VPC. Amazon Bedrock etiqueta los ENI que crea con las etiquetas BedrockManaged y BedrockModelInvocationJobArn.

Le recomendamos que proporcione al menos una subred en cada zona de disponibilidad.

Puede utilizar los grupos de seguridad para controlar el acceso de Amazon Bedrock a los recursos de su VPC.

Puede configurar la VPC para que use la consola o mediante la API. Elija la pestaña del método que prefiera y siga estos pasos:

Console

Para la consola de Amazon Bedrock, debe especificar las subredes y los grupos de seguridad de VPC en la sección de configuración de VPC opcional al enviar el trabajo de inferencia por lotes.

nota

Para un trabajo que incluye una configuración de VPC, la consola no puede crear un nuevo rol de servicio para usted. Siga las instrucciones de Creación de un rol de servicio personalizado para la inferencia en lotes para crear un rol personalizado.

API

Al enviar una solicitud CreateModelInvocationJob, puede incluir una VpcConfig como parámetro de solicitud para especificar las subredes de VPC y los grupos de seguridad que se van a utilizar, como en el siguiente ejemplo.

"vpcConfig": { 
    "securityGroupIds": [
        "sg-0123456789abcdef0"
    ],
    "subnets": [
        "subnet-0123456789abcdef0",
        "subnet-0123456789abcdef1",
        "subnet-0123456789abcdef2"
    ]
}