Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # (Opsional) Lindungi pekerjaan impor model kustom menggunakan VPC Saat Anda menjalankan pekerjaan impor model kustom, pekerjaan tersebut akan mengakses bucket Amazon S3 Anda untuk mengunduh data input dan mengunggah metrik pekerjaan. Untuk mengontrol akses ke data Anda, kami sarankan Anda menggunakan virtual private cloud (VPC) dengan Amazon [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html). Anda dapat lebih melindungi data Anda dengan mengonfigurasi VPC Anda sehingga data Anda tidak tersedia melalui internet dan sebagai gantinya membuat titik akhir [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)antarmuka VPC untuk membuat koneksi pribadi ke data Anda. Untuk informasi selengkapnya tentang cara Amazon VPC dan AWS PrivateLink berintegrasi dengan Amazon Bedrock, lihat. [Lindungi data Anda menggunakan Amazon VPC dan AWS PrivateLink](usingVPC.md) Lakukan langkah-langkah berikut untuk mengonfigurasi dan menggunakan VPC untuk mengimpor model kustom Anda. **Topics** + [ ## Menyiapkan VPC ](#create-vpc-cmi) + [ ## Buat Endpoint VPC Amazon S3 ](#train-vpc-s3-cmi) + [ ## (Opsional) Gunakan kebijakan IAM untuk membatasi akses ke file S3 Anda ](#train-vpc-policy-cmi) + [ ## Lampirkan izin VPC ke peran impor model kustom. ](#vpc-data-access-role-cmi) + [ ## Tambahkan konfigurasi VPC saat mengirimkan pekerjaan impor model ](#vpc-config-cmi) ## Menyiapkan VPC [Anda dapat menggunakan [VPC default](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html) untuk data impor model Anda atau membuat VPC baru dengan mengikuti panduan di [Memulai Amazon VPC dan Buat VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html).](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) Saat membuat VPC, sebaiknya gunakan pengaturan DNS default untuk tabel rute titik akhir, sehingga Amazon S3 standar URLs (misalnya,) diselesaikan. `http://s3-aws-region.amazonaws.com/model-bucket` ## Buat Endpoint VPC Amazon S3 Jika Anda mengonfigurasi VPC tanpa akses internet, Anda perlu membuat titik akhir [VPC Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html) untuk memungkinkan pekerjaan impor model Anda mengakses bucket S3 yang menyimpan data pelatihan dan validasi Anda dan yang akan menyimpan artefak model. Buat titik akhir VPC S3 dengan mengikuti langkah-langkah [di Buat titik akhir gateway untuk](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3) Amazon S3. **catatan** Jika Anda tidak menggunakan pengaturan DNS default untuk VPC Anda, Anda perlu memastikan bahwa URLs lokasi data dalam pekerjaan pelatihan Anda diselesaikan dengan mengonfigurasi tabel rute titik akhir. Untuk informasi tentang tabel rute titik akhir VPC, lihat [Perutean](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) untuk titik akhir Gateway. ## (Opsional) Gunakan kebijakan IAM untuk membatasi akses ke file S3 Anda Anda dapat menggunakan [kebijakan berbasis sumber daya untuk mengontrol akses ke file](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) S3 Anda dengan lebih ketat. Anda dapat menggunakan jenis kebijakan berbasis sumber daya berikut. + **Kebijakan titik akhir — Kebijakan** titik akhir membatasi akses melalui titik akhir VPC. Kebijakan endpoint default memungkinkan akses penuh ke Amazon S3 untuk setiap pengguna atau layanan di VPC Anda. Saat membuat atau setelah membuat titik akhir, Anda dapat melampirkan kebijakan berbasis sumber daya secara opsional ke titik akhir untuk menambahkan batasan, seperti hanya mengizinkan titik akhir mengakses bucket tertentu atau hanya mengizinkan peran IAM tertentu untuk mengakses titik akhir. Sebagai contoh, lihat [Mengedit kebijakan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#edit-vpc-endpoint-policy-s3). Berikut ini adalah contoh kebijakan yang dapat Anda lampirkan ke titik akhir VPC Anda untuk hanya mengizinkannya mengakses bucket yang berisi bobot model Anda. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "RestrictAccessToModelWeightsBucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::model-weights-bucket", "arn:aws:s3:::model-weights-bucket/*" ] } ] } ``` ------ ## Lampirkan izin VPC ke peran impor model kustom. Setelah selesai menyiapkan VPC dan titik akhir, Anda perlu melampirkan izin berikut ke peran IAM impor [model](model-import-iam-role.md) Anda. Ubah kebijakan ini untuk mengizinkan akses hanya ke sumber daya VPC yang dibutuhkan pekerjaan Anda. Ganti *subnet-ids* dan *security-group-id* dengan nilai dari VPC Anda. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:us-east-1:123456789012:network-interface/*" ], "Condition": { "StringEquals": { "aws:RequestTag/BedrockManaged": [ "true" ] }, "ArnEquals": { "aws:RequestTag/BedrockModelImportJobArn": [ "arn:aws:bedrock:us-east-1:123456789012:model-import-job/*" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id", "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id2", "arn:aws:ec2:us-east-1:123456789012:security-group/security-group-id" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission" ], "Resource": "*", "Condition": { "ArnEquals": { "ec2:Subnet": [ "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id", "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id2" ], "ec2:ResourceTag/BedrockModelImportJobArn": [ "arn:aws:bedrock:us-east-1:123456789012:model-import-job/*" ] }, "StringEquals": { "ec2:ResourceTag/BedrockManaged": "true" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:us-east-1:123456789012:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": [ "CreateNetworkInterface" ] }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "BedrockManaged", "BedrockModelImportJobArn" ] } } } ] } ``` ------ ## Tambahkan konfigurasi VPC saat mengirimkan pekerjaan impor model Setelah mengonfigurasi VPC dan peran serta izin yang diperlukan seperti yang dijelaskan di bagian sebelumnya, Anda dapat membuat pekerjaan impor model yang menggunakan VPC ini. Saat Anda menentukan subnet VPC dan grup keamanan untuk suatu pekerjaan, Amazon Bedrock membuat *antarmuka jaringan elastis* (ENIs) yang terkait dengan grup keamanan Anda di salah satu subnet. ENIs izinkan pekerjaan Amazon Bedrock terhubung ke sumber daya di VPC Anda. Untuk selengkapnya ENIs, lihat [Antarmuka Jaringan Elastis](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) di Panduan *Pengguna Amazon VPC*. Amazon Bedrock tag ENIs yang dibuat dengan `BedrockManaged` dan `BedrockModelImportJobArn` tag. Kami menyarankan Anda menyediakan setidaknya satu subnet di setiap Availability Zone. Anda dapat menggunakan grup keamanan untuk menetapkan aturan untuk mengontrol akses Amazon Bedrock ke sumber daya VPC Anda. Anda dapat mengonfigurasi VPC untuk digunakan di konsol atau melalui API. Pilih tab untuk metode pilihan Anda, lalu ikuti langkah-langkahnya: ------ #### [ Console ] Untuk konsol Amazon Bedrock, Anda menentukan subnet VPC dan grup keamanan di bagian pengaturan **VPC** opsional saat Anda membuat pekerjaan impor model. Untuk informasi selengkapnya tentang mengonfigurasi pekerjaan impor model, lihat[Kirim pekerjaan impor model](model-customization-import-model-job.md). ------ #### [ API ] Ketika Anda mengirimkan [CreateModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_CreateModelCustomizationJob.html)permintaan, Anda dapat menyertakan `VpcConfig` sebagai parameter permintaan untuk menentukan subnet VPC dan grup keamanan yang akan digunakan, seperti pada contoh berikut. ``` "VpcConfig": { "SecurityGroupIds": [ "sg-0123456789abcdef0" ], "Subnets": [ "subnet-0123456789abcdef0", "subnet-0123456789abcdef1", "subnet-0123456789abcdef2" ] } ``` ------