Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Protégez les tâches d'inférence par lots à l'aide d'un VPC

Mode de mise au point
Protégez les tâches d'inférence par lots à l'aide d'un VPC - Amazon Bedrock

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Lorsque vous exécutez une tâche d'inférence par lots, la tâche accède à votre compartiment Amazon S3 pour télécharger les données d'entrée et écrire les données de sortie. Pour contrôler l'accès à vos données, nous vous recommandons d'utiliser un cloud privé virtuel (VPC) avec Amazon VPC. Vous pouvez protéger davantage vos données en les configurant de VPC manière à ce qu'elles ne soient pas disponibles sur Internet et en créant plutôt un point de terminaison d'VPCinterface AWS PrivateLinkpour établir une connexion privée à vos données. Pour plus d'informations sur la manière dont Amazon VPC AWS PrivateLink s'intègre à Amazon Bedrock, consultezProtégez vos données à l'aide d'Amazon VPC et AWS PrivateLink.

Procédez comme suit pour configurer et utiliser un VPC pour les invites d'entrée et les réponses du modèle de sortie pour vos tâches d'inférence par lots.

Configuration VPC pour protéger vos données lors de l'inférence par lots

Pour configurer unVPC, suivez les étapes décrites dansConfigurez un VPC. Vous pouvez renforcer votre sécurité VPC en configurant un point de VPC terminaison S3 et en utilisant des IAM politiques basées sur les ressources pour restreindre l'accès au compartiment S3 contenant vos données d'inférence par lots en suivant les étapes décrites dans. (Exemple) Limitez l'accès aux données de votre Amazon S3 à l'aide de VPC

Associer VPC des autorisations à un rôle d'inférence par lots

Une fois que vous avez terminé de configurer votreVPC, associez les autorisations suivantes à votre rôle de service d'inférence par lots pour lui permettre d'accéder auVPC. Modifiez cette politique pour n'autoriser l'accès qu'aux VPC ressources dont votre travail a besoin. Remplacez le subnet-ids et security-group-id par les valeurs de votreVPC.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "1", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": [ "*" ] }, { "Sid": "2", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*", "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}", "arn:aws:ec2:${{region}}:${{account-id}}:security-group/${{security-group-id}}" ], "Condition": { "StringEquals": { "aws:RequestTag/BedrockManaged": ["true"] }, "ArnEquals": { "aws:RequestTag/BedrockModelInvocationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*"] } } }, { "Sid": "3", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "ec2:Subnet": [ "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}" ] }, "ArnEquals": { "ec2:ResourceTag/BedrockModelInvocationJobArn": [ "arn:aws:bedrock:${{region}}:${{account-id}}:model-invocation-job/*" ] } } }, { "Sid": "4", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": [ "CreateNetworkInterface" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "BedrockManaged", "BedrockModelInvocationJobArn" ] } } } ] }

Ajoutez la VPC configuration lors de la soumission d'une tâche d'inférence par lots

Après avoir configuré les rôles VPC et autorisations requis, comme décrit dans les sections précédentes, vous pouvez créer une tâche d'inférence par lots qui l'utilise. VPC

Note

Actuellement, lors de la création d'une tâche d'inférence VPC par lots, vous ne pouvez utiliser que des API

Lorsque vous spécifiez les VPC sous-réseaux et les groupes de sécurité pour une tâche, Amazon Bedrock crée des interfaces réseau élastiques (ENIs) associées à vos groupes de sécurité dans l'un des sous-réseaux. ENIsautorisez le job Amazon Bedrock à se connecter aux ressources de votreVPC. Pour en savoir plusENIs, consultez la section Elastic Network Interfaces dans le guide de VPC l'utilisateur Amazon. Tags Amazon Bedrock avec ENIs lesquels il crée BedrockManaged et BedrockModelInvocationJobArn étiquette.

Nous vous recommandons de choisir au moins un sous-réseau dans chaque zone de disponibilité.

Vous pouvez utiliser des groupes de sécurité pour établir des règles permettant de contrôler l'accès d'Amazon Bedrock à vos VPC ressources.

Vous pouvez configurer le VPC pour l'utiliser dans la console ou via leAPI. Choisissez l'onglet correspondant à votre méthode préférée, puis suivez les étapes suivantes :

Console

Pour la console Amazon Bedrock, vous spécifiez les VPC sous-réseaux et les groupes de sécurité dans la section des VPCparamètres facultatifs lorsque vous soumettez la tâche d'inférence par lots.

Note

Pour une tâche qui inclut la VPC configuration, la console ne peut pas créer automatiquement un rôle de service pour vous. Suivez les instructions de l'adresse Création d'un rôle de service personnalisé pour l'inférence par lots pour créer un rôle personnalisé.

API

Lorsque vous soumettez une CreateModelInvocationJobdemande, vous pouvez inclure un VpcConfig paramètre de demande pour spécifier les VPC sous-réseaux et les groupes de sécurité à utiliser, comme dans l'exemple suivant.

"vpcConfig": { "securityGroupIds": [ "sg-0123456789abcdef0" ], "subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ] }

Pour la console Amazon Bedrock, vous spécifiez les VPC sous-réseaux et les groupes de sécurité dans la section des VPCparamètres facultatifs lorsque vous soumettez la tâche d'inférence par lots.

Note

Pour une tâche qui inclut la VPC configuration, la console ne peut pas créer automatiquement un rôle de service pour vous. Suivez les instructions de l'adresse Création d'un rôle de service personnalisé pour l'inférence par lots pour créer un rôle personnalisé.

Rubrique suivante :

Créez une tâche

Rubrique précédente :

Autorisations
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.