Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Lorsque vous exécutez une tâche d'inférence par lots, la tâche accède à votre compartiment Amazon S3 pour télécharger les données d'entrée et écrire les données de sortie. Pour contrôler l'accès à vos données, nous vous recommandons d'utiliser un cloud privé virtuel (VPC) avec Amazon VPC. Vous pouvez protéger davantage vos données en les configurant de VPC manière à ce qu'elles ne soient pas disponibles sur Internet et en créant plutôt un point de terminaison d'VPCinterface AWS PrivateLinkpour établir une connexion privée à vos données. Pour plus d'informations sur la manière dont Amazon VPC AWS PrivateLink s'intègre à Amazon Bedrock, consultezProtégez vos données à l'aide d'Amazon VPC et AWS PrivateLink.
Procédez comme suit pour configurer et utiliser un VPC pour les invites d'entrée et les réponses du modèle de sortie pour vos tâches d'inférence par lots.
Rubriques
Configuration VPC pour protéger vos données lors de l'inférence par lots
Pour configurer unVPC, suivez les étapes décrites dansConfigurez un VPC. Vous pouvez renforcer votre sécurité VPC en configurant un point de VPC terminaison S3 et en utilisant des IAM politiques basées sur les ressources pour restreindre l'accès au compartiment S3 contenant vos données d'inférence par lots en suivant les étapes décrites dans. (Exemple) Limitez l'accès aux données de votre Amazon S3 à l'aide de VPC
Associer VPC des autorisations à un rôle d'inférence par lots
Une fois que vous avez terminé de configurer votreVPC, associez les autorisations suivantes à votre rôle de service d'inférence par lots pour lui permettre d'accéder auVPC. Modifiez cette politique pour n'autoriser l'accès qu'aux VPC ressources dont votre travail a besoin. Remplacez le subnet-ids
et security-group-id
par les valeurs de votreVPC.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "2",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:${{region}}
:${{account-id}}
:network-interface/*",
"arn:aws:ec2:${{region}}
:${{account-id}}
:subnet/${{subnet-id}}
",
"arn:aws:ec2:${{region}}
:${{account-id}}
:security-group/${{security-group-id}}
"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/BedrockManaged": ["true"]
},
"ArnEquals": {
"aws:RequestTag/BedrockModelInvocationJobArn":
["arn:aws:bedrock:${{region}}
:${{account-id}}
:model-invocation-job/*"]
}
}
},
{
"Sid": "3",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"ec2:Subnet": [
"arn:aws:ec2:${{region}}
:${{account-id}}
:subnet/${{subnet-id}}
"
]
},
"ArnEquals": {
"ec2:ResourceTag/BedrockModelInvocationJobArn": [
"arn:aws:bedrock:${{region}}
:${{account-id}}
:model-invocation-job/*"
]
}
}
},
{
"Sid": "4",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:${{region}}
:${{account-id}}
:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": [
"CreateNetworkInterface"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"BedrockManaged",
"BedrockModelInvocationJobArn"
]
}
}
}
]
}
Ajoutez la VPC configuration lors de la soumission d'une tâche d'inférence par lots
Après avoir configuré les rôles VPC et autorisations requis, comme décrit dans les sections précédentes, vous pouvez créer une tâche d'inférence par lots qui l'utilise. VPC
Note
Actuellement, lors de la création d'une tâche d'inférence VPC par lots, vous ne pouvez utiliser que des API
Lorsque vous spécifiez les VPC sous-réseaux et les groupes de sécurité pour une tâche, Amazon Bedrock crée des interfaces réseau élastiques (ENIs) associées à vos groupes de sécurité dans l'un des sous-réseaux. ENIsautorisez le job Amazon Bedrock à se connecter aux ressources de votreVPC. Pour en savoir plusENIs, consultez la section Elastic Network Interfaces dans le guide de VPC l'utilisateur Amazon. Tags Amazon Bedrock avec ENIs lesquels il crée BedrockManaged
et BedrockModelInvocationJobArn
étiquette.
Nous vous recommandons de choisir au moins un sous-réseau dans chaque zone de disponibilité.
Vous pouvez utiliser des groupes de sécurité pour établir des règles permettant de contrôler l'accès d'Amazon Bedrock à vos VPC ressources.
Vous pouvez configurer le VPC pour l'utiliser dans la console ou via leAPI. Choisissez l'onglet correspondant à votre méthode préférée, puis suivez les étapes suivantes :
Pour la console Amazon Bedrock, vous spécifiez les VPC sous-réseaux et les groupes de sécurité dans la section des VPCparamètres facultatifs lorsque vous soumettez la tâche d'inférence par lots.
Note
Pour une tâche qui inclut la VPC configuration, la console ne peut pas créer automatiquement un rôle de service pour vous. Suivez les instructions de l'adresse Création d'un rôle de service personnalisé pour l'inférence par lots pour créer un rôle personnalisé.