本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
当您运行批量推理作业时,该作业会访问您的 Amazon S3 存储桶以下载输入数据并写入输出数据。要控制对数据的访问,我们建议您在 Amazon 上使用虚拟私有云 (VPC) VPC。您可以通过配置您的数据来进一步保护您的数据,VPC使其无法通过 Internet 访问您的数据,而是使用创建一个VPC接口端点AWS PrivateLink来建立与您的数据的私有连接。有关亚马逊VPC和如何与 Amazon Bedrock AWS PrivateLink 集成的更多信息,请参阅使用 Amazon VPC 和 AWS PrivateLink 保护您的数据。
执行以下步骤,VPC为批量推理作业配置和使用输入提示和输出模型响应。
设置VPC为在批量推理期间保护您的数据
要设置VPC,请按照中的步骤操作设置 VPC。您可以VPC按照中的步骤设置 S3 VPC 终端节点并使用基于资源的IAM策略来限制对包含批量推理数据的 S3 存储桶的访问权限,从而进一步保护您的安全。(示例)使用 VPC 限制对 Amazon S3 数据的访问
为批量推理VPC角色授予权限
完成设置后VPC,将以下权限附加到您的批处理推理服务角色以允许其访问。VPC修改此策略以仅允许访问您的工作所需的VPC资源。将subnet-ids
和security-group-id
替换为您的值VPC。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "2",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:${{region}}
:${{account-id}}
:network-interface/*",
"arn:aws:ec2:${{region}}
:${{account-id}}
:subnet/${{subnet-id}}
",
"arn:aws:ec2:${{region}}
:${{account-id}}
:security-group/${{security-group-id}}
"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/BedrockManaged": ["true"]
},
"ArnEquals": {
"aws:RequestTag/BedrockModelInvocationJobArn":
["arn:aws:bedrock:${{region}}
:${{account-id}}
:model-invocation-job/*"]
}
}
},
{
"Sid": "3",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"ec2:Subnet": [
"arn:aws:ec2:${{region}}
:${{account-id}}
:subnet/${{subnet-id}}
"
]
},
"ArnEquals": {
"ec2:ResourceTag/BedrockModelInvocationJobArn": [
"arn:aws:bedrock:${{region}}
:${{account-id}}
:model-invocation-job/*"
]
}
}
},
{
"Sid": "4",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:${{region}}
:${{account-id}}
:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": [
"CreateNetworkInterface"
]
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"BedrockManaged",
"BedrockModelInvocationJobArn"
]
}
}
}
]
}
提交批量推理作业时添加VPC配置
按照前几节所述配置了VPC和必需的角色和权限后,您可以创建使用该VPC角色和权限的批量推理作业。
注意
目前,在创建批量推理作业时,只能使用VPC直通的。API
当您为任务指定VPC子网和安全组时,Amazon Bedrock 会在其中一个子网中创建与您的安全组关联的弹性网络接口 (ENIs)。 ENIs允许 Amazon Bedrock 任务连接到您VPC中的资源。有关信息ENIs,请参阅 Amazon VPC 用户指南中的弹性网络接口。它创建的 Amazon Bedrock 标签ENIsBedrockManaged
和BedrockModelInvocationJobArn
标签。
我们建议您至少在每个可用区中提供一个子网。
您可以使用安全组来制定控制您VPC资源的 Amazon Bedrock 访问权限的规则。
您可以将配置VPC为在控制台中使用,也可以通过使用API。选择您首选方法的选项卡,然后按照以下步骤操作:
对于 Amazon Bedrock 控制台,您可以在提交批量推理任务时在可选VPC设置部分指定VPC子网和安全组。
注意
对于包含VPC配置的作业,控制台无法自动为您创建服务角色。请按照为批量推理创建自定义服务角色中的指南来创建自定义角色。