使用 Amazon VPC 和保護您的數據 AWS PrivateLink - Amazon Bedrock
使用介面 VPC 端點 (AWS PrivateLink)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon VPC 和保護您的數據 AWS PrivateLink

若要控制對資料的存取,建議您搭配 Amazon VPC 使用虛擬私有雲端 (V PC)。使用 VPC 可保護您的資料,並可讓您使用 VPC Flow Logs 監控 AWS 工作容器內外的所有網路流量。您可以透過設定 VPC 來進一步保護資料,使您的資料無法透過網際網路存取,而是使用建立與資料的私人連線AWS PrivateLink來建立 VPC 介面端點。

如需使用 VPC 保護與 Amazon 基岩整合的資料的範例,請參閱。使用 VPC 保護模型自訂工作

使用介面 VPC 端點 (AWS PrivateLink)

您可以使 AWS PrivateLink 用在 VPC 和 Amazon 基岩之間建立私人連接。您可以像在 VPC 中一樣存取 Amazon 基岩,而無需使用網際網路閘道、NAT 裝置、VPN 連線或連線。 AWS Direct Connect VPC 中的執行個體無需公有 IP 地址,即可存取 Amazon Bedrock。

您可以建立由 AWS PrivateLink 提供支援的介面端點來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面,可作為目的地為 Amazon Bedrock 之流量的進入點。

如需詳細資訊,請參AWS PrivateLink 指南 AWS PrivateLink中的 AWS 服務 透過存取

Amazon Bedrock VPC 端點的考量事項

在您為 Amazon Bedrock 設定介面端點之前,請檢閱《AWS PrivateLink 指南》中的考量事項

Amazon Bedrock 支援透過 VPC 端點進行 API 呼叫。

類別 端點字首
Amazon Bedrock 控制平面 API 動作 bedrock
Amazon Bedrock 執行期 API 動作 bedrock-runtime
Amazon 基岩建置時 API 動作的代理程式 bedrock-agent
適用於 Amazon Bedrock 的代理程式執行期 API 動作 bedrock-agent-runtime

可用區域

適用於 Amazon 基岩端點的 Amazon 基岩和代理程式可在多個可用區域中使用。

建立 Amazon Bedrock 的介面端點

您可以使用 Amazon VPC 主控台或 () 建立 Amazon 基岩的介面端點。 AWS Command Line Interface AWS CLI如需詳細資訊,請參閱《AWS PrivateLink 指南》中的建立介面端點

使用以下任何服務名稱,為 Amazon Bedrock 建立介面端點:

  • com.amazonaws.region.bedrock

  • com.amazonaws.region.bedrock-runtime

  • com.amazonaws.region.bedrock-agent

  • com.amazonaws.region.bedrock-agent-runtime

建立端點之後,您可以選擇啟用私人 DNS 主機名稱。當您建立 VPC 端點時,在 VPC 主控台中選取 Enable Private DNS Name (啟用私有 DNS 名稱) 來啟用此設計。

如果您為該介面端點啟用私有 DNS,您可以使用其區域的預設 DNS 名稱向 Amazon Bedrock 發出 API 請求。下列範例顯示預設區域 DNS 名稱的格式。

  • bedrock.region.amazonaws.com

  • bedrock-runtime.region.amazonaws.com

  • bedrock-agent.region.amazonaws.com

  • bedrock-agent-runtime.region.amazonaws.com

為您的介面端點建立端點政策

端點政策為 IAM 資源,您可將其連接至介面端點。預設端點政策允許透過介面端點完整存取 Amazon Bedrock。若要控制 VPC 對 Amazon Bedrock 的存取,請將自訂端點政策連接至介面端點。

端點政策會指定以下資訊:

  • 可執行動作 (AWS 帳戶、IAM 使用者和 IAM 角色) 的主體。

  • 可執行的動作。

  • 可供執行動作的資源。

如需詳細資訊,請參閱《AWS PrivateLink 指南》中的使用端點政策控制對服務的存取

範例:Amazon Bedrock 動作的 VPC 端點政策

以下是自訂端點政策的範例。當您將此資源型政策附加到界面端點時,它會授予對所有資源上所有主體列出的 Amazon 基岩動作的存取權。

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "bedrock:InvokeModel",
            "bedrock:InvokeModelWithResponseStream"
         ],
         "Resource":"*"
      }
   ]
}