Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisez les points de terminaison VPC de l'interface (AWS PrivateLink) pour créer une connexion privée entre votre VPC et Amazon Bedrock
Vous pouvez l'utiliser AWS PrivateLink pour créer une connexion privée entre votre VPC et Amazon Bedrock. Vous pouvez accéder à Amazon Bedrock comme s'il se trouvait dans votre VPC, sans passer par une passerelle Internet, un appareil NAT, une connexion VPN ou une connexion. Direct Connect Les instances de votre VPC ne nécessitent pas d’adresses IP publiques pour accéder à Amazon Bedrock.
Vous établissez cette connexion privée en créant un point de terminaison d’interface optimisé par AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison d’interface. Il s’agit d’interfaces réseau gérées par le demandeur qui servent de point d’entrée pour le trafic destiné à Amazon Bedrock.
Pour plus d'informations, consultez la section Accès Services AWS par AWS PrivateLink le biais du AWS PrivateLink guide.
Considérations relatives aux points de terminaison d’un VPC Amazon Bedrock
Avant de configurer un point de terminaison d’interface pour Amazon Bedrock, consultez Considérations dans le Guide AWS PrivateLink .
Amazon Bedrock prend en charge les appels d’API suivants via les points de terminaison de VPC.
| Catégorie | Suffixe de point de terminaison |
|---|---|
| Actions d’API de plan de contrôle Amazon Bedrock | bedrock |
| Actions d’API d’exécution Amazon Bedrock | bedrock-runtime |
| Actions de l'API Amazon Bedrock Mantle | bedrock-mantle |
| Actions de l' Build-time API Amazon Bedrock Agents | bedrock-agent |
| Actions d’API d’exécution des agents Amazon Bedrock | bedrock-agent-runtime |
Zones de disponibilité
Les points de terminaison Amazon Bedrock et des agents Amazon Bedrock sont disponibles dans toutes les zones de disponibilité.
Création d’un point de terminaison d’interface pour Amazon Bedrock
Vous pouvez créer un point de terminaison d'interface pour Amazon Bedrock à l'aide de la console Amazon VPC ou AWS Command Line Interface du AWS CLI(). Pour plus d’informations, consultez Création d’un point de terminaison d’interface dans le Guide AWS PrivateLink .
Créez un point de terminaison d’interface pour Amazon Bedrock à l’aide d’un des noms de service suivants :
-
com.amazonaws.region.bedrock -
com.amazonaws.region.bedrock-runtime -
com.amazonaws.region.bedrock-mantle -
com.amazonaws.region.bedrock-agent -
com.amazonaws.region.bedrock-agent-runtime -
com.amazonaws.region.bedrock-fips -
com.amazonaws.region.bedrock-runtime-fips
Note
Les services de point de terminaison FIPS (bedrock-fipsetbedrock-runtime-fips) sont disponibles dans us-east-1, us-east-2, us-west-2, ca-central-1, us-gov-east-1 et us-gov-west-1.
Après avoir créé le point de terminaison, vous avez la possibilité d’activer un nom d’hôte DNS privé. Activez ce nom d’hôte en sélectionnant Activer le nom de DNS privé dans la console VPC lorsque vous créez le point de terminaison d’un VPC.
Si vous activez le DNS privé pour le point de terminaison d’interface, vous pouvez adresser des demandes d’API à Amazon Bedrock en utilisant son nom DNS par défaut pour la région. Les exemples suivants montrent le format des noms DNS régionaux par défaut.
-
bedrock.region.amazonaws.com -
bedrock-runtime.region.amazonaws.com -
bedrock-mantle.region.api.aws -
bedrock-agent.region.amazonaws.com -
bedrock-agent-runtime.region.amazonaws.com
Création d’une politique de point de terminaison pour votre point de terminaison d’interface
Une politique de point de terminaison est une ressource IAM que vous pouvez attacher à votre point de terminaison d’interface. La politique de point de terminaison par défaut autorise un accès complet à Amazon Bedrock via le point de terminaison d’interface. Pour contrôler l’accès autorisé à Amazon Bedrock à partir de votre VPC, attachez une politique de point de terminaison personnalisée au point de terminaison d’interface.
Une politique de point de terminaison spécifie les informations suivantes :
-
Les principaux qui peuvent effectuer des actions (Comptes AWS, utilisateurs IAM et rôles IAM).
-
Les actions qui peuvent être effectuées.
-
La ressource sur laquelle les actions peuvent être effectuées.
Pour plus d’informations, consultez Contrôle de l’accès aux services à l’aide de politiques de point de terminaison dans le Guide AWS PrivateLink .
Exemple : politique de point de terminaison d’un VPC pour les actions Amazon Bedrock
Voici un exemple de politique de point de terminaison personnalisée. Lorsque vous attachez cette politique basée sur les ressources à votre point de terminaison d’interface, elle accorde l’accès aux actions Amazon Bedrock répertoriées pour tous les principaux sur toutes les ressources.
Exemple : politique de point de terminaison VPC pour les actions Amazon Bedrock Mantle
Voici un exemple de politique de point de terminaison personnalisée. Lorsque vous associez cette politique basée sur les ressources à votre point de terminaison d'interface, elle donne accès aux actions Amazon Bedrock Mantle répertoriées à tous les principaux sur toutes les ressources.
{ "Version":"2012-10-17", "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "bedrock-mantle:CreateInference" ], "Resource":"*" } ] }
Connectez-vous à Amazon Bedrock via votre point de terminaison VPC
Après avoir créé votre point de terminaison VPC, vous pouvez acheminer les appels d'API Amazon Bedrock via celui-ci. La manière de procéder dépend de l'activation ou non du DNS privé pour le point de terminaison.
-
DNS privé activé : aucune modification de code n'est nécessaire. Tous les appels d'API Amazon Bedrock provenant du VPC sont automatiquement acheminés via le point de terminaison en utilisant les noms DNS de service standard (par exemple
bedrock-runtime.,).region.amazonaws.com -
DNS privé non activé : vous devez spécifier explicitement l'URL du point de terminaison VPC dans vos appels d'API, comme indiqué dans les exemples suivants.
AWS CLI
Utilisez l'--endpoint-urlindicateur pour acheminer les demandes via votre point de terminaison VPC :
aws bedrock-runtime invoke-model \ --model-id anthropic.claude-sonnet-4-6-v1 \ --body '{"anthropic_version": "bedrock-2023-05-31", "max_tokens": 1024, "messages": [{"role": "user", "content": "Hello"}]}' \ --cli-binary-format raw-in-base64-out \ --endpoint-url https://vpce-id.bedrock-runtime.region.vpce.amazonaws.com \ output.json
Python (boto3)
Passez le endpoint_url paramètre lors de la création du client. Cette approche fonctionne pour les AWS Lambda fonctions et toutes les applications utilisant le AWS SDK :
import boto3 client = boto3.client( "bedrock-runtime", region_name="us-east-1", endpoint_url="https://vpce-id.bedrock-runtime.us-east-1.vpce.amazonaws.com" ) response = client.converse( modelId="anthropic.claude-sonnet-4-6-v1", messages=[{"role": "user", "content": [{"text": "Hello"}]}] )
vpce-idRemplacez-le par votre identifiant de point de terminaison VPC (par exemple,vpce-029dea71225152fde). Vous pouvez trouver cet ID dans la console VPC sous Endpoints.
