View a markdown version of this page

Gunakan titik akhir VPC antarmuka (AWS PrivateLink) untuk membuat koneksi pribadi antara VPC Anda dan Amazon Bedrock - Amazon Bedrock
Pertimbangan-pertimbanganMembuat sebuah titik akhir antarmukaMembuat kebijakan titik akhirConnect ke Amazon Bedrock melalui titik akhir VPC Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gunakan titik akhir VPC antarmuka (AWS PrivateLink) untuk membuat koneksi pribadi antara VPC Anda dan Amazon Bedrock

Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara VPC Anda dan Amazon Bedrock. Anda dapat mengakses Amazon Bedrock seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk mengakses Amazon Bedrock.

Anda membuat koneksi pribadi ini dengan membuat titik akhir antarmuka, didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk Amazon Bedrock.

Untuk informasi selengkapnya, lihat Akses Layanan AWS melalui AWS PrivateLink di AWS PrivateLink Panduan.

Pertimbangan untuk titik akhir Amazon Bedrock VPC

Sebelum Anda menyiapkan titik akhir antarmuka untuk Amazon Bedrock, tinjau Pertimbangan dalam Panduan.AWS PrivateLink

Amazon Bedrock mendukung melakukan panggilan API berikut melalui titik akhir VPC.

Kategori Sufiks titik akhir
Tindakan API Pesawat Kontrol Batuan Dasar Amazon bedrock
Tindakan Amazon Bedrock Runtime API bedrock-runtime
Tindakan Amazon Bedrock Mantle API bedrock-mantle
Tindakan Build-time API Amazon Bedrock Agents bedrock-agent
Tindakan API Runtime Agen Amazon Bedrock bedrock-agent-runtime

Zona Ketersediaan

Titik akhir Amazon Bedrock dan Amazon Bedrock Agents tersedia di beberapa Availability Zone.

Buat titik akhir antarmuka untuk Amazon Bedrock

Anda dapat membuat titik akhir antarmuka untuk Amazon Bedrock menggunakan konsol VPC Amazon atau (). AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat Membuat titik akhir antarmuka di AWS PrivateLink Panduan.

Buat titik akhir antarmuka untuk Amazon Bedrock menggunakan salah satu nama layanan berikut:

  • com.amazonaws.region.bedrock

  • com.amazonaws.region.bedrock-runtime

  • com.amazonaws.region.bedrock-mantle

  • com.amazonaws.region.bedrock-agent

  • com.amazonaws.region.bedrock-agent-runtime

  • com.amazonaws.region.bedrock-fips

  • com.amazonaws.region.bedrock-runtime-fips

catatan

Layanan endpoint FIPS (bedrock-fipsdanbedrock-runtime-fips) tersedia di us-east-1, us-east-2, us-west-2, ca-central-1, us-gov-east-1, dan us-gov-west-1.

Setelah Anda membuat titik akhir, Anda memiliki opsi untuk mengaktifkan nama host DNS pribadi. Aktifkan pengaturan ini dengan memilih Aktifkan Nama DNS privat di konsol VPC saat Anda membuat VPC endpoint.

Jika Anda mengaktifkan DNS pribadi untuk titik akhir antarmuka, Anda dapat membuat permintaan API ke Amazon Bedrock menggunakan nama DNS Regional default. Contoh berikut menunjukkan format nama DNS Regional default.

  • bedrock.region.amazonaws.com

  • bedrock-runtime.region.amazonaws.com

  • bedrock-mantle.region.api.aws

  • bedrock-agent.region.amazonaws.com

  • bedrock-agent-runtime.region.amazonaws.com

Buat kebijakan titik akhir untuk titik akhir antarmuka Anda

Kebijakan endpoint adalah sumber daya IAM yang dapat Anda lampirkan ke titik akhir antarmuka. Kebijakan endpoint default memungkinkan akses penuh ke Amazon Bedrock melalui titik akhir antarmuka. Untuk mengontrol akses yang diizinkan ke Amazon Bedrock dari VPC Anda, lampirkan kebijakan titik akhir kustom ke titik akhir antarmuka.

kebijakan titik akhir mencantumkan informasi berikut:

  • Prinsipal yang dapat melakukan tindakan (Akun AWS, pengguna IAM, dan peran IAM).

  • Tindakan yang dapat dilakukan.

  • Sumber daya untuk melakukan tindakan.

Untuk informasi selengkapnya, lihat Mengontrol akses ke layanan menggunakan kebijakan titik akhir di Panduan AWS PrivateLink .

Contoh: Kebijakan titik akhir VPC untuk tindakan Amazon Bedrock

Berikut ini adalah contoh kebijakan endpoint kustom. Saat Anda melampirkan kebijakan berbasis sumber daya ini ke titik akhir antarmuka Anda, kebijakan tersebut akan memberikan akses ke tindakan Amazon Bedrock yang terdaftar untuk semua prinsipal di semua sumber daya.

JSON
{
   "Version":"2012-10-17",
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "bedrock:InvokeModel",
            "bedrock:InvokeModelWithResponseStream"
         ],
         "Resource":"*"
      }
   ]
}
Contoh: Kebijakan titik akhir VPC untuk tindakan Amazon Bedrock Mantle

Berikut ini adalah contoh kebijakan endpoint kustom. Saat Anda melampirkan kebijakan berbasis sumber daya ini ke titik akhir antarmuka Anda, kebijakan ini akan memberikan akses ke tindakan Amazon Bedrock Mantle yang terdaftar untuk semua prinsipal di semua sumber daya.

{
   "Version":"2012-10-17",
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "bedrock-mantle:CreateInference"
         ],
         "Resource":"*"
      }
   ]
}

Connect ke Amazon Bedrock melalui titik akhir VPC Anda

Setelah membuat titik akhir VPC, Anda dapat merutekan panggilan Amazon Bedrock API melaluinya. Bagaimana Anda melakukan ini tergantung pada apakah Anda mengaktifkan DNS pribadi untuk titik akhir.

  • DNS pribadi diaktifkan - Tidak perlu perubahan kode. Semua panggilan Amazon Bedrock API dari dalam VPC secara otomatis merutekan melalui titik akhir menggunakan nama DNS layanan standar (mis.,). bedrock-runtime.region.amazonaws.com

  • DNS pribadi tidak diaktifkan - Anda harus secara eksplisit menentukan URL titik akhir VPC dalam panggilan API Anda, seperti yang ditunjukkan dalam contoh berikut.

AWS CLI

Gunakan --endpoint-url bendera untuk merutekan permintaan melalui titik akhir VPC Anda:

aws bedrock-runtime invoke-model \
    --model-id anthropic.claude-sonnet-4-6-v1 \
    --body '{"anthropic_version": "bedrock-2023-05-31", "max_tokens": 1024, "messages": [{"role": "user", "content": "Hello"}]}' \
    --cli-binary-format raw-in-base64-out \
    --endpoint-url https://vpce-id.bedrock-runtime.region.vpce.amazonaws.com \
    output.json

Python (Boto3)

Lewati endpoint_url parameter saat membuat klien. Pendekatan ini berfungsi untuk AWS Lambda fungsi dan aplikasi apa pun yang menggunakan AWS SDK:

import boto3

client = boto3.client(
    "bedrock-runtime",
    region_name="us-east-1",
    endpoint_url="https://vpce-id.bedrock-runtime.us-east-1.vpce.amazonaws.com"
)

response = client.converse(
    modelId="anthropic.claude-sonnet-4-6-v1",
    messages=[{"role": "user", "content": [{"text": "Hello"}]}]
)

Ganti vpce-id dengan ID titik akhir VPC Anda (mis.,). vpce-029dea71225152fde Anda dapat menemukan ID ini di konsol VPC di bawah Endpoints.