View a markdown version of this page

(Opcional) Protección de los trabajos de importación de modelos personalizados mediante una VPC - Amazon Bedrock
Configurar una VPCCreación de un punto de conexión de VPC de Amazon S3(Opcional) Uso de políticas de IAM para restringir el acceso a archivos de S3Asocie permisos de VPC a un rol de importación de modelos personalizado.Agregación de la configuración de VPC al enviar un trabajo de importación de modelos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

(Opcional) Protección de los trabajos de importación de modelos personalizados mediante una VPC

Cuando ejecuta un trabajo de importación de modelos personalizados, el trabajo accede a su bucket de Amazon S3 para descargar los datos de entrada y cargar las métricas del trabajo. Para controlar el acceso a sus datos, le recomendamos usar una nube privada virtual (VPC) con Amazon VPC. Puede proteger aún más sus datos configurando la VPC para que no estén disponibles en internet y, en su lugar, crear un punto de conexión de interfaz de la VPC con AWS PrivateLink para establecer una conexión privada con sus datos. Para obtener más información sobre cómo Amazon VPC se AWS PrivateLink integra con Amazon Bedrock, consulte. Proteja sus datos con Amazon VPC y AWS PrivateLink

Realice los siguientes pasos para configurar y usar una VPC para importar sus modelos personalizados.

Configurar una VPC

Puede usar una VPC predeterminada para los datos de importación del modelo o crear una nueva VPC siguiendo las instrucciones de Introducción a Amazon VPC y Creación de una VPC.

Al crear la VPC, le recomendamos utilizar la configuración de DNS predeterminada para su tabla de enrutamiento de punto de conexión, de manera que se resuelvan las URL de Amazon S3 estándar (por ejemplo, http://s3-aws-region.amazonaws.com/model-bucket).

Creación de un punto de conexión de VPC de Amazon S3

Si configura su VPC sin acceso a internet, debe crear un punto de conexión de VPC de Amazon S3 para permitir que los trabajos de importación de modelos accedan a los buckets de S3 que almacenan sus datos de entrenamiento y validación y que almacenarán los artefactos del modelo.

Siga los pasos descritos en Creación de un punto de conexión de un gateway para Amazon S3 para crear el punto de conexión de VPC de puerta de enlace para S3.

nota

Si no utiliza la configuración de DNS predeterminada para la VPC, asegúrese de que las URL que utilice para las ubicaciones de los datos en los trabajos de entrenamiento se resuelvan. Para ello, configure tablas de enrutamiento de punto de conexión. Para obtener más información sobre las tablas de enrutamiento de punto de conexión de VPC, consulte el enrutamiento de puntos de conexión de la puerta de enlace.

(Opcional) Uso de políticas de IAM para restringir el acceso a archivos de S3

Puede usar políticas basadas en recursos para controlar el acceso a sus archivos de S3 de forma más estricta. Puede usar el siguiente tipo de política basada en recursos.

  • Políticas de punto de conexión: las políticas de punto de conexión restringen el acceso mediante el punto de conexión de VPC. La política de puntos de conexión predeterminada permite acceso completo a Amazon S3 a cualquier usuario o servicio de la VPC. Al crear el punto de conexión o después de crearlo, si lo desea, puede asociar una política basada en recursos al punto de conexión para añadir restricciones, por ejemplo, permitir que el punto de conexión solo acceda a un bucket específico o permitir que solo un rol de IAM específico acceda al punto de conexión. Para ver ejemplos, consulte Edit the VPC endpoint policy.

    El siguiente es un ejemplo de política que puede asociar a su punto de conexión de VPC para permitirle acceder únicamente al bucket que contiene los pesos de su modelo.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictAccessToModelWeightsBucket",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::model-weights-bucket",
                "arn:aws:s3:::model-weights-bucket/*"
            ]
        }
    ]
}

Asocie permisos de VPC a un rol de importación de modelos personalizado.

Cuando termine de configurar la VPC y el punto de conexión, debe asociar los siguientes permisos a su rol de IAM de importación de modelos. Modifique esta política para permitir el acceso solo a los recursos de VPC que necesita su trabajo. Sustituya los valores subnet-ids y security-group-id por los de su VPC.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:123456789012:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/BedrockManaged": [
                        "true"
                    ]
                },
                "ArnEquals": {
                    "aws:RequestTag/BedrockModelImportJobArn": [
                        "arn:aws:bedrock:us-east-1:123456789012:model-import-job/*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id",
                "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id2",
                "arn:aws:ec2:us-east-1:123456789012:security-group/security-group-id"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission"
            ],
            "Resource": "*",
            "Condition": {
                "ArnEquals": {
                    "ec2:Subnet": [
                        "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id",
                        "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id2"
                    ],
                    "ec2:ResourceTag/BedrockModelImportJobArn": [
                        "arn:aws:bedrock:us-east-1:123456789012:model-import-job/*"
                    ]
                },
                "StringEquals": {
                    "ec2:ResourceTag/BedrockManaged": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelImportJobArn"
                    ]
                }
            }
        }
    ]
}

Agregación de la configuración de VPC al enviar un trabajo de importación de modelos

Tras configurar la VPC y los roles y permisos necesarios, tal y como se describe en las secciones anteriores, puede crear un trabajo de importación de modelos que utilice esta VPC.

Cuando especifique las subredes y los grupos de seguridad de la VPC, Amazon Bedrock crea interfaces de red elásticas (ENI) que se asocian a los grupos de seguridad en una de las subredes. Las ENI permiten que el trabajo de Amazon Bedrock se conecte a los recursos que hay en la VPC. Para obtener más información sobre las ENI, consulte Interfaces de red elásticas en la Guía del usuario de Amazon VPC. Amazon Bedrock etiqueta los ENI que crea con las etiquetas BedrockManaged y BedrockModelImportJobArn.

Le recomendamos que proporcione al menos una subred en cada zona de disponibilidad.

Puede utilizar los grupos de seguridad para controlar el acceso de Amazon Bedrock a los recursos de su VPC.

Puede configurar la VPC para que use la consola o mediante la API. Elija la pestaña del método que prefiera y siga estos pasos:

Console

Para la consola de Amazon Bedrock, debe especificar las subredes y los grupos de seguridad de VPC en la sección de configuración de VPC opcional al crear el trabajo de importación de modelos. Para obtener más información sobre la configuración de trabajos de importación de modelos, consulte Envío de un trabajo de importación de modelos.

API

Al enviar una CreateModelCustomizationJobsolicitud, puede incluir un VpcConfig parámetro de solicitud para especificar las subredes de VPC y los grupos de seguridad que se van a utilizar, como en el siguiente ejemplo.

"VpcConfig": { 
"SecurityGroupIds": [
    "sg-0123456789abcdef0"
    ],
    "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
     ]
 }