View a markdown version of this page

(Opcional) Proteger os trabalhos de importação de modelos personalizados usando uma VPC - Amazon Bedrock
Configurar uma VPCCriar um endpoint da VPC para o Amazon S3(Opcional) Usar as políticas do IAM para restringir o acesso aos arquivos do S3Anexe as permissões da VPC a um perfil de importação de modelo personalizado.Adicionar a configuração da VPC ao enviar um trabalho de importação de modelo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

(Opcional) Proteger os trabalhos de importação de modelos personalizados usando uma VPC

Ao executar um trabalho de importação de modelos personalizados, o trabalho acessa o bucket do Amazon S3 para baixar os dados de entrada e carregar as métricas do trabalho. Para controlar o acesso aos dados, é recomendável usar uma nuvem privada virtual (VPC) com a Amazon VPC. É possível proteger ainda mais os dados configurando a VPC para que os dados não fiquem disponíveis pela internet e, em vez disso, criar um endpoint da VPC de interface com AWS PrivateLink para estabelecer uma conexão privada com os dados. Para obter mais informações sobre como o Amazon VPC e a AWS PrivateLink integração com o Amazon Bedrock, consulte. Proteja seus dados usando o Amazon VPC e AWS PrivateLink

Execute as etapas a seguir para configurar e usar uma VPC para importar os modelos personalizados.

Configurar uma VPC

É possível usar uma VPC padrão para o modelo importar dados ou criar uma VPC seguindo as orientações em Get started with Amazon VPC e Criar uma VPC.

Ao criar a VPC, é recomendável usar as configurações padrão do DNS para a tabela de rotas de endpoint, para que os URLs padrão do Amazon S3 (por exemplo, http://s3-aws-region.amazonaws.com/model-bucket) sejam resolvidos.

Criar um endpoint da VPC para o Amazon S3

Se você configurar a VPC sem acesso à internet, será necessário criar um endpoint da VPC do Amazon S3 para permitir que as tarefas de importação de modelos acessem os buckets do S3 que armazenam os dados de treinamento e de validação e que armazenarão os artefatos do modelo.

Crie o endpoint da VPC do S3 seguindo as etapas em Gateway endpoints for Amazon S3.

nota

Se você não usar essas definições padrão de DNS, verifique se os outros URLs dos locais dos dados nos trabalhos de treinamento podem ser resolvidos pela configuração da tabela de rotas do endpoint. Para obter informações sobre as tabelas de rotas do endpoint da VPC, consulte Roteamento para endpoints do gateway.

(Opcional) Usar as políticas do IAM para restringir o acesso aos arquivos do S3

É possível usar políticas baseadas em recurso para controlar mais rigorosamente o acesso aos arquivos do S3. É possível usar o tipo de política baseada em recurso a seguir.

  • Políticas de endpoint: as políticas de endpoint restringem o acesso por meio do endpoint da VPC. A política de endpoint padrão permite acesso total ao Amazon S3 para qualquer usuário ou serviço em sua VPC. Ao criar ou depois de criar o endpoint, é possível, opcionalmente, anexar uma política baseada em recurso ao endpoint para adicionar restrições, como permitir que apenas o endpoint acesse um bucket específico ou permitir que apenas um perfil específico do IAM acesse o endpoint. Para obter exemplos, consulte Editar a política de endpoint da VPC.

    Veja a seguir um exemplo de política que você pode anexar ao endpoint da VPC para permitir que ele acesse apenas o bucket que contém os pesos do modelo.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "RestrictAccessToModelWeightsBucket",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::model-weights-bucket",
                "arn:aws:s3:::model-weights-bucket/*"
            ]
        }
    ]
}

Anexe as permissões da VPC a um perfil de importação de modelo personalizado.

Depois de concluir a configuração da VPC e do endpoint, é necessário anexar as permissões a seguir ao perfil do IAM para importação de modelos. Modifique essa política para permitir acesso apenas aos recursos da VPC necessários para o trabalho. Substitua subnet-ids e security-group-id pelos valores da sua VPC.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:123456789012:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/BedrockManaged": [
                        "true"
                    ]
                },
                "ArnEquals": {
                    "aws:RequestTag/BedrockModelImportJobArn": [
                        "arn:aws:bedrock:us-east-1:123456789012:model-import-job/*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id",
                "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id2",
                "arn:aws:ec2:us-east-1:123456789012:security-group/security-group-id"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission"
            ],
            "Resource": "*",
            "Condition": {
                "ArnEquals": {
                    "ec2:Subnet": [
                        "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id",
                        "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-id2"
                    ],
                    "ec2:ResourceTag/BedrockModelImportJobArn": [
                        "arn:aws:bedrock:us-east-1:123456789012:model-import-job/*"
                    ]
                },
                "StringEquals": {
                    "ec2:ResourceTag/BedrockManaged": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface"
                    ]
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "BedrockManaged",
                        "BedrockModelImportJobArn"
                    ]
                }
            }
        }
    ]
}

Adicionar a configuração da VPC ao enviar um trabalho de importação de modelo

Depois de configurar a VPC e os perfis e as permissões necessários, conforme descrito nas seções anteriores, você poderá criar um trabalho de importação de modelo que usa essa VPC.

Quando você especifica sub-redes e grupos de segurança da VPC para um trabalho, o Amazon Bedrock cria interfaces de rede elástica (ENIs) que são associadas aos grupos de segurança em uma das sub-redes. As ENIs permitem que o trabalho do Amazon Bedrock se conecte a recursos na VPC. Para obter informações sobre as ENIs, consulte Interfaces de rede elástica no Guia do usuário da Amazon VPC. O Amazon Bedrock identifica as ENIs que ele cria com as tags BedrockManaged e BedrockModelImportJobArn.

Recomendamos que você forneça pelo menos uma sub-rede em cada zona de disponibilidade.

Você pode usar grupos de segurança para estabelecer regras para controlar o acesso do Amazon Bedrock aos recursos da VPC.

É possível configurar a VPC para uso no console ou por meio da API. Escolha a guia correspondente ao método de sua preferência e siga as etapas:

Console

No console do Amazon Bedrock, você especifica as sub-redes da VPC e os grupos de segurança na seção opcional Configurações da VPC ao criar o trabalho de importação do modelo. Para obter mais informações sobre como configurar os trabalhos de importação de modelos, consulte Enviar um trabalho de importação de modelo.

API

Ao enviar uma CreateModelCustomizationJobsolicitação, você pode incluir um VpcConfig como parâmetro de solicitação para especificar as sub-redes VPC e os grupos de segurança a serem usados, como no exemplo a seguir.

"VpcConfig": { 
"SecurityGroupIds": [
    "sg-0123456789abcdef0"
    ],
    "Subnets": [
          "subnet-0123456789abcdef0",
          "subnet-0123456789abcdef1",
          "subnet-0123456789abcdef2"
     ]
 }