亚马逊基岩 是 AWS 提供的一项完全托管服务,让开发人员能够访问 基础模型 (FM)以及针对特定应用对其进行定制的工具。 它允许开发人员通过 API 使用 FM 构建和扩展生成式 AI 应用程序,而无需管理基础设施。 您可以从 Amazon 和领先的 AI 初创公司(例如 AI21 Labs、Anthropic、Cohere 和 Stability AI)提供的各种 FM 中进行选择,以找到最适合您的用例的模型。 借助 Amazon Bedrock 无服务器体验,您可以快速入门、轻松试验 FM、使用您自己的数据私下自定义它们,并使用 AWS 工具和功能将它们无缝集成和部署到您的应用程序中。
客户正在使用 Amazon Bedrock API 使用自己的专有数据构建创新的生成式 AI 应用程序。 在访问 Amazon Bedrock API 时,客户正在寻找一种机制来建立数据边界,而不将其数据暴露到互联网,以便他们可以减轻互联网暴露带来的潜在威胁向量。 Amazon Bedrock VPC 终端节点由以下技术支持 AWS私有链接 允许您在您账户中的 VPC 与 Amazon Bedrock 服务账户之间建立私有连接。 它使VPC实例无需公网IP地址即可与服务资源通信。
在本文中,我们演示了如何在您的 AWS 账户上设置私有访问权限,以通过以下方式访问 Amazon Bedrock API: VPC端点 由 PrivateLink 提供支持,可帮助您使用自己的数据安全地构建生成式 AI 应用程序。
解决方案概述
您可以使用生成式 AI 来开发各种应用程序,例如文本摘要、内容审核和其他功能。 当使用 FM 或基础模型构建此类生成式 AI 应用程序时,客户希望在不通过公共互联网或基于可能驻留在企业数据库中的专有数据的情况下生成响应。
在下图中,我们描述了一个架构来设置您的基础设施以读取驻留在其中的专有数据 亚马逊关系数据库服务 (Amazon RDS),并在回答来自生成 AI 应用程序的产品相关查询时使用产品信息增强 Amazon Bedrock API 请求。 尽管我们在此图中使用 Amazon RDS 进行说明,但您可以使用本文中提供的说明端到端测试 Amazon Bedrock API 的私有访问。
工作流程步骤如下:
- AWS Lambda 在您的私有 VPC 子网中运行的应用程序会收到来自生成型 AI 应用程序的提示请求。
- Lambda 调用专有 RDS 数据库并增强提示查询上下文(例如,添加产品信息),并使用增强的查询请求调用 Amazon Bedrock API。
- API 调用将路由到与具有允许 Amazon Bedrock API 权限的 VPC 终端节点策略关联的 Amazon Bedrock VPC 终端节点。
- Amazon Bedrock 服务 API 终端节点通过 PrivateLink 接收 API 请求,而无需遍历公共互联网。
- 您可以将 Amazon Bedrock VPC 终端节点策略更改为拒绝权限,以验证 Amazon Bedrock API 调用是否被拒绝。
- 您还可以通过 VPC 终端节点从您的公司网络通过以下方式私下访问 Amazon Bedrock API: AWS Direct Connect 网关。
先决条件
在开始之前,请确保您具备以下先决条件:
- An AWS账户
- An AWS身份和访问管理 (IAM) 联合角色,有权执行以下操作:
- 创建、编辑、查看和删除 VPC 网络资源
- 创建、编辑、查看和删除 Lambda 函数
- 创建、编辑、查看和删除 IAM 角色和策略
- 列出基础模型并调用 Amazon Bedrock 基础模型
- 对于这篇文章,我们使用
us-east-1
区域 - 请求 基础模型访问 通过 Amazon Bedrock 控制台
设置私有访问基础设施
在本节中,我们使用以下方法设置基础设施,例如 VPC、私有子网、安全组和 Lambda 函数 AWS CloudFormation 模板。
使用以下内容 模板 创建基础设施堆栈 Bedrock-GenAI-Stack
在您的 AWS 账户中。
CloudFormation模板代表您创建以下资源:
- 在单独的可用区中具有两个私有子网的VPC
- 安全组和路由表
- 供 Lambda、Amazon Bedrock 和使用的 IAM 角色和策略 亚马逊弹性计算云 (Amazon EC2)
为 Amazon Bedrock 设置 VPC 终端节点
在本节中,我们使用 亚马逊虚拟私有云 (Amazon VPC) 为 Amazon Bedrock 设置 VPC 终端节点,以促进从 VPC 到 Amazon Bedrock 的私有连接。
- 在 Amazon VPC 控制台上,在 虚拟私有云 在导航窗格中,选择 端点.
- 创建端点.
- 针对 名称标签,输入
bedrock-vpce
. - 下 特色服务,搜索 bedrock-runtime 并选择
com.amazonaws.<region>.bedrock-runtime
. - 针对 VPC,指定VPC
Bedrock-GenAI-Project-vpc
您在上一节中通过 CloudFormation 堆栈创建的。 - 在 子网路 部分,选择可用区并从下拉菜单中选择相应的子网 ID。
- 针对 安全组,选择组名的安全组
Bedrock-GenAI-Stack-VPCEndpointSecurityGroup-
和描述Allow TLS for VPC Endpoint
.
安全组充当实例的虚拟防火墙来控制入站和出站流量。 请注意,此 VPC 终端节点安全组仅允许源自附加到您的 VPC 私有子网的安全组的流量,从而添加一层保护。
- 创建端点.
- 在 策略
部分,选择 定制版 并输入以下最小权限策略以确保仅允许对指定的基础模型资源执行某些操作,
arn:aws:bedrock:*::foundation-model/anthropic.claude-instant-v1
对于给定主体(例如 Lambda 函数 IAM 角色)。
最多可能需要 2 分钟才能创建接口终端节点并将状态更改为可用。 您可以刷新页面查看最新状态。
通过私有 VPC 子网设置 Lambda 函数
完成以下步骤来配置 Lambda 函数:
- 在Lambda控制台上,选择 主要工作内容 在导航窗格中。
- 选择功能
gen-ai-lambda-stack-BedrockTestLambdaFunction-XXXXXXXXXXXX
. - 点击 配置 标签,选择 权限 在左侧窗格中。
- 下 执行角色¸ 选择角色的链接
gen-ai-lambda-stack-BedrockTestLambdaFunctionRole-XXXXXXXXXXXX
.
您将被重定向到 IAM 控制台。
- 在 权限策略 部分中,选择 添加权限 并选择 创建内联策略.
- 点击 JSON 选项卡中,修改策略如下:
- 下一页.
- 针对 政策名称,输入
enivpce-policy
. - 建立政策.
- 添加以下内联策略(提供您的源 VPC 终端节点),以限制 Lambda 仅通过 VPC 终端节点访问 Amazon Bedrock API:
- 在 Lambda 函数页面上 配置 标签,选择 VPC 在左侧窗格中,然后选择 编辑.
- 针对 VPC,选择
Bedrock-GenAI-Project-vpc
. - 针对 子网路,选择私有子网。
- 针对 安全组,选择
gen-ai-lambda-stack-SecurityGroup-
(私有子网中 Amazon Bedrock 工作负载的安全组)。 - 保存.
测试私有访问控制
现在您可以测试私有访问控制(VPC 终端节点上的 Amazon Bedrock API)。
- 在Lambda控制台上,选择 主要工作内容 在导航窗格中。
- 选择功能
gen-ai-lambda-stack-BedrockTestLambdaFunction-XXXXXXXXXXXX
. - 点击 代码 标签,选择 测试.
您应该会看到来自 Amazon Bedrock API 调用的以下响应(状态:成功)。
- 要拒绝通过 VPC 终端节点访问 Amazon Bedrock API,请导航到 Amazon VPC 控制台。
- 下 虚拟私有云 在导航窗格中,选择 端点.
- 选择您的政策并导航至 政策标签.
目前,VPC终端节点策略设置为 Allow
.
- 要拒绝访问,请选择 编辑政策.
- 更改
Allow
至Deny
并选择 保存.
VPC 终端节点的策略最多可能需要 2 分钟才能更新。
- 返回 Lambda 函数页面并在 代码 标签,选择 测试.
如以下屏幕截图所示,通过 VPC 终端节点对 Amazon Bedrock 的访问请求被拒绝(状态:失败)。
通过此测试过程,我们演示了从 VPC 到 Amazon Bedrock API 终端节点的流量如何通过 PrivateLink 连接而不是通过互联网连接进行传输。
清理
请按照以下步骤操作,以避免将来产生费用:
结论
在这篇文章中,我们演示了如何使用 PrivateLink 支持的接口 VPC 终端节点在部署在客户 VPC 上的生成式 AI 工作负载和 Amazon Bedrock 之间建立和运行私有连接。 使用本文中讨论的架构时,您的客户 VPC 和 Amazon Bedrock 之间的流量不会离开 Amazon 网络,从而确保您的数据不会暴露到公共互联网,从而有助于满足您的合规性要求。
下一步,请在您的帐户中尝试该解决方案并分享您的反馈。
作者简介
拉姆·维塔尔 是 AWS 的首席 ML 解决方案架构师。 他在架构和构建分布式、混合和云应用程序方面拥有超过 3 年的经验。 他热衷于构建安全且可扩展的 AI/ML 和大数据解决方案,以帮助企业客户进行云采用和优化之旅,从而改善其业务成果。 闲暇时,他会骑着摩托车,带着他三岁的牧羊犬一起散步!
雷·科桑迪 是 AWS 的 AI/ML 专家,通过 AI/ML 最佳实践为战略客户提供支持。 拥有硕士学位和博士学位。 他拥有电气工程和计算机科学博士学位,带领企业构建安全、可扩展的 AI/ML 和大数据解决方案,以优化其云采用。 他的热情包括计算机视觉、NLP、生成式 AI 和 MLOps。 雷喜欢踢足球和与家人共度美好时光。
迈克尔·丹尼尔斯 是 AWS 的 AI/ML 专家。 他的专长在于为复杂且具有挑战性的业务问题构建和领导 AI/ML 和生成式 AI 解决方案,他的博士学位进一步增强了这一点。 来自大学。 德克萨斯州和他的硕士学位乔治亚理工学院计算机科学专业机器学习专业博士。 他擅长应用尖端云技术来创新、激励和改造行业领先的组织,同时还与任何级别或规模的利益相关者进行有效沟通。 闲暇时,您可以观看迈克尔在山中滑雪或滑板滑雪的情景。
- :具有
- :是
- :不是
- $UP
- 1
- 100
- 13
- 16
- 225
- 7
- 8
- 9
- 937
- a
- 关于
- ACCESS
- 访问
- 账号管理
- 操作
- 行动
- 行为
- 添加
- 地址
- 采用
- AI
- AI / ML
- 让
- 允许
- 允许
- 还
- 尽管
- Amazon
- Amazon EC2
- 亚马逊RDS
- 亚马逊网络服务
- an
- 和
- 人类的
- 任何
- API
- APIs
- 应用领域
- 应用领域
- 应用
- 架构
- 保健
- AS
- 相关
- At
- 增加
- 增强
- 增强
- 可用性
- 可使用
- 避免
- AWS
- 基地
- 基于
- 代表
- 最佳
- 最佳实践
- 之间
- 大
- 大数据运用
- 建立
- 建筑物
- 商业
- by
- 呼叫
- 呼叫
- CAN
- 能力
- 案件
- 摔角
- 一定
- 挑战
- 更改
- 更改
- 收费
- 查
- 云端技术
- 云采用
- 云应用
- 通信
- 沟通
- 复杂
- 符合
- 计算
- 一台
- 计算机科学
- 计算机视觉
- 流程条件
- 地都
- 连接方式
- 安慰
- 内容
- 内容审核
- 上下文
- 控制
- 控制
- 公司
- 相应
- 创建信息图
- 创建
- 创建
- 顾客
- 合作伙伴
- 定制
- 前沿
- data
- 数据库
- 数据库
- 几十年
- 演示
- 证明
- 部署
- 部署
- 描述
- 开发
- 开发
- 直接
- 讨论
- 分布
- 不同
- do
- 容易
- 效果
- 只
- 电气工程
- 使
- 结束
- 端点
- 端点安全
- 端点
- 工程师
- 增强
- 确保
- 保证
- 输入
- 企业
- 企业客户
- 企业
- 建立
- 醚(ETH)
- 例子
- 体验
- 实验
- 专门知识
- 裸露
- 曝光
- 促进
- 失败
- 家庭
- 联邦
- 反馈
- 找到最适合您的地方
- 火墙
- 以下
- 如下
- 针对
- 基金会
- 止
- 充分
- 功能
- 未来
- 网关
- 生成
- 生成的
- 生成式人工智能
- 佐治亚理工学院
- 得到
- 特定
- 去
- 团队
- 组的
- 有
- he
- 帮助
- 帮助
- 他的
- 创新中心
- How To
- HTML
- HTTP
- HTTPS
- 杂交种
- IAM
- ID
- 身分
- IDS
- 改善
- in
- 包括
- 行业领先
- 信息
- 基础设施
- 创新
- 创新
- 启发
- 例
- 实例
- 研究所
- 说明
- 整合
- 接口
- 网络
- 网络连接
- 成
- 所调用
- IP
- IP地址
- IT
- 旅程
- JPG
- 实验室
- 最新
- 层
- 领导
- 信息
- 学习
- 最少
- 离开
- 左
- Level
- 谎言
- 友情链接
- 寻找
- 机
- 机器学习
- 使
- 制作
- 管理
- 管理的
- 可能..
- 机制
- 菜单
- Michael (中国)
- 分钟
- 减轻
- ML
- 多播
- 模型
- 模型
- 适度
- 修改
- 摩托车
- 姓名
- 导航
- 旅游导航
- 需求
- 网络
- 下页
- NLP
- 注意
- of
- 优惠精选
- on
- 仅由
- 优化
- 优化
- or
- 组织
- 始发
- 其他名称
- 输出
- 结果
- 超过
- 己
- 页
- 面包
- 多情
- 权限
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- 政策
- 政策
- 帖子
- 潜力
- 供电
- 做法
- 先决条件
- 以前
- 校长
- 私立
- 特权
- 问题
- 过程
- 产品
- 产品信息
- 所有权
- 保护
- 提供
- 提供
- 国家
- 目的
- 质量
- 查询
- 很快
- 范围
- RAY
- 阅读
- 接收
- 请求
- 岗位要求
- 资源
- 资源
- 响应
- 限制
- 游乐设施
- 角色
- 角色
- 路由
- 运行
- SC
- 可扩展性
- 鳞片
- 科学
- 无缝
- 搜索
- 部分
- 安全
- 安全
- 保安
- 看到
- 分开
- 无服务器
- 服务
- 特色服务
- 集
- Share
- 应该
- 如图
- So
- 足球
- 方案,
- 解决方案
- 来源
- 专家
- 具体的
- 指定
- 花费
- 稳定性
- 堆
- 利益相关者
- 开始
- 初创企业
- 个人陈述
- Status
- 步
- 步骤
- 善用
- 子网
- 子网
- 这样
- 支持
- 肯定
- 采取
- 技术
- 专业技术
- 模板
- test
- 测试
- 德州
- 文本
- 这
- 其
- 他们
- 然后
- 从而
- 博曼
- 他们
- Free Introduction
- 威胁
- 通过
- 次
- TLS
- 至
- 工具
- 交通
- 改造
- 尝试
- 二
- 下
- 直到
- 更新
- 使用
- 用例
- 运用
- 验证
- 各个
- 版本
- 通过
- 查看
- 在线会议
- 愿景
- 走
- 想
- 是
- we
- 卷筒纸
- Web服务
- ,尤其是
- 这
- 而
- 将
- 也完全不需要
- 工作流程
- 雅姆
- 您
- 您一站式解决方案
- 和风网
- 区