View a markdown version of this page

インターフェイス VPC エンドポイント (AWS PrivateLink) を使用して、VPC と Amazon Bedrock 間にプライベート接続を作成します。 - Amazon Bedrock
考慮事項インターフェイスエンドポイントの作成エンドポイントポリシーを作成するVPC エンドポイント経由で Amazon Bedrock に接続する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インターフェイス VPC エンドポイント (AWS PrivateLink) を使用して、VPC と Amazon Bedrock 間にプライベート接続を作成します。

を使用して AWS PrivateLink 、VPC と Amazon Bedrock の間にプライベート接続を作成できます。インターネットゲートウェイ、NAT デバイス、VPN 接続、または Direct Connect 接続を使用せずに、VPC 内にあるかのように Amazon Bedrock にアクセスできます。VPC のインスタンスは、パブリック IP アドレスがなくても Amazon Bedrock にアクセスできます。

このプライベート接続を確立するには、 AWS PrivateLinkを利用したインターフェイスエンドポイントを作成します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、Amazon Bedrock 宛てのトラフィックのエントリポイントとして機能するリクエスタ管理型ネットワークインターフェイスです。

詳細については、「 AWS PrivateLink ガイド」の「Access AWS のサービス through AWS PrivateLink」を参照してください。

Amazon Bedrock VPC エンドポイントに関する考慮事項

Amazon Bedrock のインターフェイスエンドポイントを設定する前に、「AWS PrivateLink ガイド」の「考慮事項」を確認してください。

Amazon Bedrock は、VPC エンドポイントを介して以下の API コールを実行できます。

Category エンドポイントサフィックス
Amazon Bedrock コントロールプレーン API アクション bedrock
Amazon Bedrock ランタイム API アクション bedrock-runtime
Amazon Bedrock Mantle API アクション bedrock-mantle
Amazon Bedrock エージェント Build-time API アクション bedrock-agent
Amazon Bedrock エージェントランタイム API アクション bedrock-agent-runtime

アベイラビリティーゾーン

Amazon Bedrock および Amazon Bedrock エージェントエンドポイントは、複数のアベイラビリティーゾーンで使用できます。

Amazon Bedrock 用のインターフェイスエンドポイントを作成する

Amazon Bedrock のインターフェイスエンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface () を使用して作成できますAWS CLI。詳細については、「AWS PrivateLink ガイド」の「インターフェイスエンドポイントを作成」を参照してください。

以下のサービス名のいずれかを使用して Amazon Bedrock のインターフェイスエンドポイントを作成します。

  • com.amazonaws.region.bedrock

  • com.amazonaws.region.bedrock-runtime

  • com.amazonaws.region.bedrock-mantle

  • com.amazonaws.region.bedrock-agent

  • com.amazonaws.region.bedrock-agent-runtime

  • com.amazonaws.region.bedrock-fips

  • com.amazonaws.region.bedrock-runtime-fips

注記

FIPS エンドポイントサービス (bedrock-fips および bedrock-runtime-fips) は、us-east-1、us-east-2、us-west-2、ca-central-1、us-gov-east-1、us-gov-west-1 で利用できます。

エンドポイントを作成後に、プライベート DNS ホスト名を有効にするオプションがあります。VPC エンドポイントの作成時に VPC コンソールで [プライベート DNS 名を有効にする] を選択して、この設定名を有効にします。

エンドポイントのプライベート DNS を有効にすると、リージョンのデフォルト DNS 名 ( など) を使用して、Amazon Bedrock への API リクエストを実行できます。次の例は、デフォルトのリージョン DNS 名の形式を示しています。

  • bedrock.region.amazonaws.com

  • bedrock-runtime.region.amazonaws.com

  • bedrock-mantle.region.api.aws

  • bedrock-agent.region.amazonaws.com

  • bedrock-agent-runtime.region.amazonaws.com

インターフェイスエンドポイントのエンドポイントポリシーを作成する

エンドポイントポリシーは、インターフェイスエンドポイントにアタッチできる IAM リソースです。デフォルトのエンドポイントポリシーでは、インターフェイスエンドポイント経由での Amazon Bedrock へのフルアクセスが許可されています。VPC から Amazon Bedrock への許可されたアクセスをコントロールするには、カスタムエンドポイントポリシーをインターフェイスエンドポイントにアタッチします。

エンドポイントポリシーは以下の情報を指定します。

  • アクションを実行できるプリンシパル (AWS アカウント、IAM ユーザー、IAM ロール)。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、AWS PrivateLink ガイドControl access to services using endpoint policies (エンドポイントポリシーを使用してサービスへのアクセスをコントロールする)を参照してください。

例: Amazon Bedrock アクションの VPC エンドポイントポリシー

以下は、カスタムエンドポイントポリシーの例です。インターフェイスエンドポイントにアタッチされると、このリソースベースのポリシーは、すべてのリソースですべてのプリンシパルに、リストされている Amazon Bedrock アクションへのアクセス権を付与します。

JSON
{
   "Version":"2012-10-17",
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "bedrock:InvokeModel",
            "bedrock:InvokeModelWithResponseStream"
         ],
         "Resource":"*"
      }
   ]
}
例: Amazon Bedrock Mantle アクションの VPC エンドポイントポリシー

以下は、カスタムエンドポイントポリシーの例です。このリソースベースのポリシーをインターフェイスエンドポイントにアタッチすると、すべてのリソースのすべてのプリンシパルに対して、リストされている Amazon Bedrock Mantle アクションへのアクセスが許可されます。

{
   "Version":"2012-10-17",
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "bedrock-mantle:CreateInference"
         ],
         "Resource":"*"
      }
   ]
}

VPC エンドポイント経由で Amazon Bedrock に接続する

VPC エンドポイントを作成したら、そのエンドポイントを介して Amazon Bedrock API コールをルーティングできます。これを行う方法は、エンドポイントのプライベート DNS を有効にしたかどうかによって異なります。

  • プライベート DNS が有効 – コードの変更は必要ありません。VPC 内からのすべての Amazon Bedrock API コールは、標準サービス DNS 名 (例: bedrock-runtime.region.amazonaws.com) を使用してエンドポイントを自動的にルーティングします。

  • プライベート DNS が有効でない – 次の例に示すように、API コールで VPC エンドポイント URL を明示的に指定する必要があります。

AWS CLI

--endpoint-url フラグを使用して、VPC エンドポイントを介してリクエストをルーティングします。

aws bedrock-runtime invoke-model \
    --model-id anthropic.claude-sonnet-4-6-v1 \
    --body '{"anthropic_version": "bedrock-2023-05-31", "max_tokens": 1024, "messages": [{"role": "user", "content": "Hello"}]}' \
    --cli-binary-format raw-in-base64-out \
    --endpoint-url https://vpce-id.bedrock-runtime.region.vpce.amazonaws.com \
    output.json

Python (boto3)

クライアントの作成時に endpoint_urlパラメータを渡します。このアプローチは、 AWS SDK を使用する AWS Lambda 関数とアプリケーションに対して機能します。

import boto3

client = boto3.client(
    "bedrock-runtime",
    region_name="us-east-1",
    endpoint_url="https://vpce-id.bedrock-runtime.us-east-1.vpce.amazonaws.com"
)

response = client.converse(
    modelId="anthropic.claude-sonnet-4-6-v1",
    messages=[{"role": "user", "content": [{"text": "Hello"}]}]
)

vpce-id を VPC エンドポイント ID (例: vpce-029dea71225152fde) に置き換えます。この ID は、VPC コンソールのエンドポイントにあります。