Amazon VPC를 사용하여 데이터를 보호하고 AWS PrivateLink - Amazon Bedrock
인터페이스 VPC 엔드포인트(AWS PrivateLink) 사용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon VPC를 사용하여 데이터를 보호하고 AWS PrivateLink

데이터에 대한 액세스를 제어하려면 Amazon VPC와 함께 가상 사설 클라우드 (VPC) 를 사용하는 것이 좋습니다. VPC를 사용하면 데이터를 보호하고 VPC 흐름 로그를 사용하여 AWS 작업 컨테이너에서 들어오고 나가는 모든 네트워크 트래픽을 모니터링할 수 있습니다. 인터넷을 통해 데이터를 사용할 수 없도록 VPC를 구성하고 대신 데이터에 대한 프라이빗 연결을 설정하는 VPC 인터페이스 엔드포인트를 AWS PrivateLink생성하여 데이터를 더욱 보호할 수 있습니다.

Amazon Bedrock과 통합한 데이터를 보호하기 위해 VPC를 사용하는 예제는 을 참조하십시오. VPC를 사용하여 모델 사용자 지정 작업 보호

인터페이스 VPC 엔드포인트(AWS PrivateLink) 사용

를 AWS PrivateLink 사용하여 VPC와 Amazon Bedrock 간에 프라이빗 연결을 생성할 수 있습니다. 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 연결을 사용하지 않고도 마치 VPC에 있는 것처럼 Amazon Bedrock에 액세스할 수 있습니다. AWS Direct Connect VPC의 인스턴스에서 Amazon Bedrock에 액세스하는 데 퍼블릭 IP 주소가 필요하지 않습니다.

AWS PrivateLink에서 제공되는 인터페이스 엔드포인트를 생성하여 이 프라이빗 연결을 설정합니다. 인터페이스 엔드포인트에 대해 사용 설정하는 각 서브넷에서 엔드포인트 네트워크 인터페이스를 생성합니다. 이는 Amazon Bedrock으로 향하는 트래픽의 진입점 역할을 하는 요청자 관리형 네트워크 인터페이스입니다.

자세한 내용은 가이드의 액세스를 참조하십시오 AWS 서비스 . AWS PrivateLink AWS PrivateLink

Amazon Bedrock VPC 엔드포인트에 대한 고려 사항

Amazon Bedrock에 대한 인터페이스 엔드포인트를 설정하려면 먼저 AWS PrivateLink 가이드의 고려 사항을 검토합니다.

Amazon Bedrock은 VPC 엔드포인트를 통한 다음 API 직접 호출을 지원합니다.

범주 엔드포인트 접두사
Amazon Bedrock 컨트롤 플레인 API 작업 bedrock
Amazon Bedrock 런타임 API 작업 bedrock-runtime
Amazon 베드락 빌드 타임 API 작업용 에이전트 bedrock-agent
Amazon Bedrock 런타임 API 작업용 에이전트 bedrock-agent-runtime

가용 영역

Amazon Bedrock 및 Amazon Bedrock 엔드포인트용 에이전트는 여러 가용 영역에서 사용할 수 있습니다.

Amazon Bedrock용 인터페이스 엔드포인트 생성

Amazon VPC 콘솔 또는 () 를 사용하여 Amazon Bedrock용 인터페이스 엔드포인트를 생성할 수 있습니다. AWS Command Line Interface AWS CLI 자세한 내용은 AWS PrivateLink 설명서인터페이스 엔드포인트 생성을 참조하십시오.

다음과 같은 서비스 이름을 사용하여 Amazon Bedrock의 인터페이스 엔드포인트를 생성합니다.

  • com.amazonaws.region.bedrock

  • com.amazonaws.region.bedrock-runtime

  • com.amazonaws.region.bedrock-agent

  • com.amazonaws.region.bedrock-agent-runtime

엔드포인트를 생성한 후에는 프라이빗 DNS 호스트 이름을 활성화할 수 있는 옵션이 있습니다. VPC 엔드포인트를 생성할 때 VPC 콘솔에서 프라이빗 DNS 이름 활성화(Enable Private DNS Name)를 선택하여 이 설정을 활성화합니다.

인터페이스 엔드포인트에 프라이빗 DNS를 사용하도록 설정하는 경우, 리전에 대한 기본 DNS 이름(예: )을 사용하여 Amazon Bedrock에 API 요청을 할 수 있습니다. 다음 예는 기본 지역 DNS 이름의 형식을 보여줍니다.

  • bedrock.region.amazonaws.com

  • bedrock-runtime.region.amazonaws.com

  • bedrock-agent.region.amazonaws.com

  • bedrock-agent-runtime.region.amazonaws.com

인터페이스 엔드포인트에 엔드포인트 정책 생성

엔드포인트 정책은 인터페이스 엔드포인트에 연결할 수 있는 IAM 리소스입니다. 기본 엔드포인트 정책을 사용하면 인터페이스 엔드포인트를 통해 Amazon Bedrock에 대한 전체 액세스를 허용합니다. VPC에서 Amazon Bedrock에 허용되는 액세스를 제어하려면 사용자 지정 엔드포인트 정책을 인터페이스 엔드포인트에 연결합니다.

엔드포인트 정책은 다음 정보를 지정합니다.

  • 작업을 수행할 수 있는 보안 주체 (AWS 계정, IAM 사용자, IAM 역할)

  • 수행할 수 있는 작업.

  • 작업을 수행할 수 있는 리소스.

자세한 내용은 AWS PrivateLink 가이드의 엔드포인트 정책을 사용하여 서비스에 대한 액세스 제어를 참조하세요.

예제: Amazon Bedrock 작업에 대한 VPC 엔드포인트 정책

다음은 사용자 지정 엔드포인트 정책의 예입니다. 이 리소스 기반 정책을 인터페이스 엔드포인트에 연결하면 모든 리소스의 모든 보안 주체에 대해 나열된 Amazon Bedrock 작업에 대한 액세스 권한이 부여됩니다.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "bedrock:InvokeModel",
            "bedrock:InvokeModelWithResponseStream"
         ],
         "Resource":"*"
      }
   ]
}