本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
【選用】 使用 保護您的模型自訂任務 VPC
當您執行模型自訂工作時,工作會存取 Amazon S3 儲存貯體以下載輸入資料和上傳工作指標。若要控制對資料的存取,建議您搭配 Amazon VPC使用虛擬私有雲端 (VPC)。您可以透過設定 進一步保護您的資料,VPC使其無法透過網際網路使用,而是使用 建立VPC介面端點AWS PrivateLink,以建立資料的私有連線。如需 Amazon VPC和 如何與 Amazon Bedrock AWS PrivateLink 整合的詳細資訊,請參閱 使用 Amazon VPC和 保護您的資料 AWS PrivateLink。
執行下列步驟,以設定和使用 VPC來訓練、驗證和輸出模型自訂任務的資料。
設定 VPC以在模型自訂期間保護您的資料
若要設定 VPC,請遵循 中的步驟設定 VPC。您可以依照 中的步驟,VPC設定 S3 VPC端點並使用資源型IAM政策來限制存取包含模型自訂資料的 S3 儲存貯體,進一步保護您的 (範例) 使用以下方式限制對 Amazon S3 資料的資料存取 VPC。
將VPC許可連接至模型自訂角色
完成設定 後VPC,請將下列許可連接至模型自訂服務角色,以允許其存取 VPC。修改此政策,僅允許存取您的任務所需的VPC資源。將 ${{subnet-ids}}和 取代security-group-id為 中的值VPC。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", ], "Resource":[ "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*" ], "Condition": { "StringEquals": { "aws:RequestTag/BedrockManaged": ["true"] }, "ArnEquals": { "aws:RequestTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", ], "Resource":[ "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}", "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}", "arn:aws:ec2:${{region}}:${{account-id}}:security-group/security-group-id" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", ], "Resource": "*", "Condition": { "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id}}", "arn:aws:ec2:${{region}}:${{account-id}}:subnet/${{subnet-id2}}" ], "ec2:ResourceTag/BedrockModelCustomizationJobArn": ["arn:aws:bedrock:${{region}}:${{account-id}}:model-customization-job/*"] }, "StringEquals": { "ec2:ResourceTag/BedrockManaged": "true" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:${{region}}:${{account-id}}:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": [ "CreateNetworkInterface" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "BedrockManaged", "BedrockModelCustomizationJobArn" ] } } } ] }
提交模型自訂任務時新增VPC組態
如前幾節所述設定 VPC和必要的角色和許可後,您可以建立使用此 的模型自訂任務VPC。
當您為任務指定VPC子網路和安全群組時,Amazon Bedrock 會建立彈性網路介面 (ENIs),這些介面與其中一個子網路中的安全群組相關聯。 ENIs 允許 Amazon Bedrock 任務連接到 中的資源VPC。如需 的相關資訊ENIs,請參閱《Amazon VPC使用者指南》中的彈性網路界面。使用 BedrockManaged和 標籤建立ENIs的 Amazon Bedrock BedrockModelCusomizationJobArn標籤。
建議您在每個可用區域中至少提供一個子網路。
您可以使用安全群組來建立規則,以控制 Amazon Bedrock 對 VPC 資源的存取。
您可以將 VPC 設定為在 主控台或透過 使用 API。選擇您偏好方法的索引標籤,然後遵循下列步驟:
