Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Seguridad en Amazon Bedrock
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de los centros de datos y las arquitecturas de red diseñados para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre AWS usted y usted. El modelo de responsabilidad compartida
-
Seguridad de la nube: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los AWS programas
de de . Para obtener más información sobre los programas de cumplimiento que se aplican a Amazon Bedrock, consulte AWS Servicios dentro del alcance por programa de cumplimiento AWS . -
Seguridad en la nube: su responsabilidad viene determinada por el AWS servicio que utilice. Usted también es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza Amazon Bedrock. En los siguientes temas, se le mostrará cómo configurar Amazon Bedrock para satisfacer sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus recursos de Amazon Bedrock.
Temas
- Protección de datos
- Administración de identidades y accesos para Amazon Bedrock
- Validación de la conformidad en Amazon Bedrock
- Respuesta frente a incidencias en Amazon Bedrock
- Resiliencia en Amazon Bedrock
- Seguridad de la infraestructura en Amazon Bedrock
- Prevención de la sustitución confusa entre servicios
- Configuración y análisis de vulnerabilidades en Amazon Bedrock
- Usar puntos de conexión de VPC de interfaz (AWS PrivateLink)
Usar puntos de conexión de VPC de interfaz (AWS PrivateLink)
Puede utilizarla AWS PrivateLink para crear una conexión privada entre su VPC y Amazon Bedrock. Puede acceder a Amazon Bedrock como si estuviera en su VPC, sin utilizar una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. AWS Direct Connect Las instancias de la VPC no necesitan direcciones IP públicas para acceder a Amazon Bedrock.
Esta conexión privada se establece mediante la creación de un punto de conexión de interfaz alimentado por AWS PrivateLink . Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a Amazon Bedrock.
Para obtener más información, consulte Acceso directo AWS PrivateLink en la Servicios de AWSAWS PrivateLink guía.
Consideraciones sobre los puntos de conexión de Amazon Bedrock VPC
Antes de configurar un punto de conexión para Amazon Bedrock, consulte Consideraciones en la Guía de AWS PrivateLink .
Amazon Bedrock permite realizar las siguientes llamadas a la API a través de los puntos de conexión de VPC.
| Categoría | Prefijo de punto de conexión |
|---|---|
| Acciones de la API del plano de control de Amazon Bedrock | bedrock |
| Acciones de la API de tiempo de ejecución de Amazon Bedrock | bedrock-runtime |
| Agentes para acciones de la API en tiempo de compilación de Amazon Bedrock | bedrock-agent |
| Acciones de la API de tiempo de ejecución de Agentes para Amazon Bedrock | bedrock-agent-runtime |
Zonas de disponibilidad
Los puntos de enlace de Amazon Bedrock y Agents for Amazon Bedrock están disponibles en varias zonas de disponibilidad.
Crear un punto de conexión de interfaz para Amazon Bedrock
Puede crear un punto final de interfaz para Amazon Bedrock mediante la consola de Amazon VPC o AWS Command Line Interface el AWS CLI (). Para obtener más información, consulte Creación de un punto de conexión de interfaz en la Guía de AWS PrivateLink .
Cree un punto de conexión para Amazon Bedrock con cualquiera de los siguientes nombres de servicio:
-
com.amazonaws.region.bedrock -
com.amazonaws.region.bedrock-runtime -
com.amazonaws.region.bedrock-agent -
com.amazonaws.region.bedrock-agent-runtime
Después de crear el punto final, tiene la opción de habilitar un nombre de host DNS privado. Habilite esta configuración seleccionando Enable Private DNS Name (Habilitar nombre de DNS privado) en la consola de VPC al crear el punto de conexión de la VPC.
Si habilita DNS privado para el punto de conexión de interfaz, puede realizar solicitudes a la API para Amazon Bedrock usando su nombre de DNS predeterminado para la región. Los siguientes ejemplos muestran el formato de los nombres DNS regionales predeterminados.
-
bedrock.region.amazonaws.com -
bedrock-runtime.region.amazonaws.com -
bedrock-agent.region.amazonaws.com -
bedrock-agent-runtime.region.amazonaws.com
Creación de una política de punto de conexión para el punto de conexión de interfaz
Una política de punto de conexión es un recurso de IAM que puede adjuntar al punto de conexión de su interfaz. La política de puntos de conexión predeterminada permite acceso completo a Amazon Bedrock a través del punto de conexión de interfaz. Para controlar el acceso permitido a Amazon Bedrock desde la VPC, adjunte una política de puntos de conexión personalizada al punto de conexión de interfaz.
Una política de punto de conexión especifica la siguiente información:
-
Las entidades principales que pueden llevar a cabo acciones (Cuentas de AWS, usuarios de IAM y roles de IAM).
-
Las acciones que se pueden realizar.
-
El recurso en el que se pueden realizar las acciones.
Para obtener más información, consulte Control del acceso a los servicios con políticas de punto de conexión en la Guía del usuario de AWS PrivateLink .
Ejemplo: política de punto de conexión de VPC para acciones de Amazon Bedrock
El siguiente es un ejemplo de una política de un punto de conexión personalizado. Al adjuntar esta política basada en recursos al punto final de la interfaz, otorga acceso a las acciones de Amazon Bedrock enumeradas a todos los directores de todos los recursos.
{ "Version": "2012-10-17", "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource":"*" } ] }
