أمازون بيدروك هي خدمة مُدارة بالكامل تقدمها AWS والتي توفر للمطورين إمكانية الوصول إليها نماذج الأساس (FMs) والأدوات اللازمة لتخصيصها لتطبيقات محددة. فهو يسمح للمطورين ببناء وتوسيع نطاق تطبيقات الذكاء الاصطناعي التوليدية باستخدام FMs من خلال واجهة برمجة التطبيقات (API)، دون إدارة البنية التحتية. يمكنك الاختيار من بين العديد من FMs من Amazon والشركات الناشئة الرائدة في مجال الذكاء الاصطناعي مثل AI21 Labs وAnthropic وCohere وStability AI للعثور على النموذج الأكثر ملاءمة لحالة الاستخدام الخاصة بك. مع تجربة Amazon Bedrock بدون خادم، يمكنك البدء بسرعة، وتجربة FMs بسهولة، وتخصيصها بشكل خاص باستخدام بياناتك الخاصة، ودمجها ونشرها بسلاسة في تطبيقاتك باستخدام أدوات وإمكانات AWS.

يقوم العملاء ببناء تطبيقات ذكاء اصطناعي مبتكرة ومبتكرة باستخدام واجهات برمجة تطبيقات Amazon Bedrock باستخدام بيانات الملكية الخاصة بهم. عند الوصول إلى واجهات برمجة تطبيقات Amazon Bedrock، يبحث العملاء عن آلية لإعداد محيط البيانات دون تعريض بياناتهم للإنترنت حتى يتمكنوا من التخفيف من نواقل التهديد المحتملة من التعرض للإنترنت. نقطة نهاية Amazon Bedrock VPC مدعومة من AWS الرابط الخاص يسمح لك بإنشاء اتصال خاص بين VPC في حسابك وحساب خدمة Amazon Bedrock. فهو يمكّن مثيلات VPC من التواصل مع موارد الخدمة دون الحاجة إلى عناوين IP عامة.

في هذا المنشور، نوضح كيفية إعداد الوصول الخاص على حساب AWS الخاص بك للوصول إلى واجهات برمجة تطبيقات Amazon Bedrock نقاط نهاية VPC مدعوم من PrivateLink لمساعدتك في إنشاء تطبيقات ذكاء اصطناعي توليدية بشكل آمن باستخدام بياناتك الخاصة.

حل نظرة عامة

يمكنك استخدام الذكاء الاصطناعي التوليدي لتطوير مجموعة متنوعة من التطبيقات، مثل تلخيص النص والإشراف على المحتوى والإمكانيات الأخرى. عند إنشاء مثل هذه تطبيقات الذكاء الاصطناعي التوليدية باستخدام FMs أو النماذج الأساسية، يرغب العملاء في إنشاء استجابة دون المرور عبر الإنترنت العام أو استنادًا إلى بياناتهم الخاصة التي قد تكون موجودة في قواعد بيانات مؤسستهم.

في الرسم البياني التالي، نعرض بنية لإعداد البنية الأساسية لديك لقراءة بيانات الملكية الموجودة فيها خدمة قاعدة بيانات الأمازون (Amazon RDS) وقم بتعزيز طلب Amazon Bedrock API بمعلومات المنتج عند الإجابة على الاستفسارات المتعلقة بالمنتج من تطبيق الذكاء الاصطناعي التوليدي الخاص بك. على الرغم من أننا نستخدم Amazon RDS في هذا المخطط لأغراض التوضيح، إلا أنه يمكنك اختبار الوصول الخاص إلى واجهات برمجة تطبيقات Amazon Bedrock من البداية إلى النهاية باستخدام الإرشادات الواردة في هذا المنشور.

خطوات سير العمل كالتالي:

1. AWS لامدا يتلقى التشغيل في شبكة VPC الفرعية الخاصة بك الطلب الفوري من تطبيق الذكاء الاصطناعي التوليدي.
2. تقوم Lambda بإجراء اتصال بقاعدة بيانات RDS الخاصة وتعزيز سياق الاستعلام الفوري (على سبيل المثال، إضافة معلومات المنتج) واستدعاء Amazon Bedrock API مع طلب الاستعلام المعزز.
3. يتم توجيه استدعاء واجهة برمجة التطبيقات (API) إلى نقطة نهاية Amazon Bedrock VPC المرتبطة بسياسة نقطة نهاية VPC مع السماح بأذونات واجهات برمجة تطبيقات Amazon Bedrock.
4. تتلقى نقطة نهاية واجهة برمجة تطبيقات خدمة Amazon Bedrock طلب واجهة برمجة التطبيقات عبر PrivateLink دون عبور الإنترنت العام.
5. يمكنك تغيير سياسة نقطة نهاية Amazon Bedrock VPC إلى رفض الأذونات للتحقق من رفض مكالمات Amazon Bedrock APIs.
6. يمكنك أيضًا الوصول بشكل خاص إلى واجهات برمجة تطبيقات Amazon Bedrock عبر نقطة نهاية VPC من شبكة شركتك من خلال AWS Direct Connect بوابة.

المتطلبات الأساسية المسبقة

قبل أن تبدأ ، تأكد من توفر المتطلبات الأساسية التالية لديك:

• An حساب AWS
• An إدارة الهوية والوصول AWS (IAM) دور الاتحاد مع إمكانية الوصول للقيام بما يلي:
  • إنشاء موارد شبكة VPC وتحريرها وعرضها وحذفها
  • إنشاء وتحرير وعرض وحذف وظائف Lambda
  • إنشاء وتحرير وعرض وحذف أدوار وسياسات IAM
  • قم بإدراج نماذج الأساس واستدعاء نموذج أساس Amazon Bedrock
• لهذا المنصب ، نستخدم us-east-1 بلد المنشأ
• أطلب الوصول إلى نموذج الأساس عبر وحدة التحكم Amazon Bedrock

قم بإعداد البنية التحتية للوصول الخاص

في هذا القسم، قمنا بإعداد البنية الأساسية مثل VPC والشبكات الفرعية الخاصة ومجموعات الأمان ووظيفة Lambda باستخدام تكوين سحابة AWS قالب.

استخدم ما يلي قالب لإنشاء مكدس البنية التحتية Bedrock-GenAI-Stack في حساب AWS الخاص بك.

يُنشئ نموذج CloudFormation الموارد التالية نيابة عنك:

• VPC بشبكتين فرعيتين خاصتين في مناطق توافر خدمات منفصلة
• مجموعات الأمان وجداول التوجيه
• دور IAM وسياساته للاستخدام بواسطة Lambda وAmazon Bedrock و الأمازون الحوسبة المرنة السحابية (أمازون EC2)

قم بإعداد نقطة نهاية VPC لـ Amazon Bedrock

في هذا القسم نستخدم سحابة أمازون الافتراضية الخاصة (Amazon VPC) لإعداد نقطة نهاية VPC لـ Amazon Bedrock لتسهيل الاتصال الخاص من VPC الخاص بك إلى Amazon Bedrock.

1. على وحدة تحكم Amazon VPC، أسفل سحابة خاصة افتراضية في جزء التنقل ، اختر النهاية.
2. اختار إنشاء نقطة نهاية.
   
3. في حالة بطاقة اسم، أدخل bedrock-vpce.
4. تحت خدمات، ابحث عن وقت التشغيل الأساسي وحدد com.amazonaws.<region>.bedrock-runtime.
5. في حالة VPC، حدد VPC Bedrock-GenAI-Project-vpc التي قمت بإنشائها من خلال مكدس CloudFormation في القسم السابق.
   
6. في مجلة الشبكات الفرعية القسم، وحدد مناطق توافر الخدمات واختر معرفات الشبكة الفرعية المقابلة من القائمة المنسدلة.
   
7. في حالة مجموعات الأمان، حدد مجموعة الأمان باسم المجموعة Bedrock-GenAI-Stack-VPCEndpointSecurityGroup- والوصف Allow TLS for VPC Endpoint.

تعمل مجموعة الأمان كجدار حماية افتراضي لمثيلك للتحكم في حركة المرور الواردة والصادرة. لاحظ أن مجموعة أمان نقطة نهاية VPC هذه تسمح فقط بحركة المرور الصادرة من مجموعة الأمان المرتبطة بشبكات VPC الفرعية الخاصة، مما يضيف طبقة من الحماية.

8. اختار إنشاء نقطة نهاية.
9. في مجلة الخصوصية القسم، حدد Custom وأدخل سياسة الامتيازات الأقل التالية للتأكد من السماح بإجراءات معينة فقط على مورد نموذج الأساس المحدد، arn:aws:bedrock:*::foundation-model/anthropic.claude-instant-v1 لمدير معين (مثل دور IAM لوظيفة Lambda).

   { "Version": "2012-10-17", "Statement": [ { "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/anthropic.claude-instant-v1" ], "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<accountid>:role/GenAIStack-Bedrock" } } ]
   }

قد يستغرق الأمر ما يصل إلى دقيقتين حتى يتم إنشاء نقطة نهاية الواجهة وتتغير الحالة إلى متاح. يمكنك تحديث الصفحة للتحقق من أحدث حالة.

قم بإعداد وظيفة Lambda عبر شبكات VPC الفرعية الخاصة

أكمل الخطوات التالية لتكوين وظيفة Lambda:

1. في وحدة تحكم لامدا ، اختر وظائف في جزء التنقل.
2. اختر الوظيفة gen-ai-lambda-stack-BedrockTestLambdaFunction-XXXXXXXXXXXX.
   
3. على الاعداد علامة التبويب، اختر أذونات في الجزء الأيمن.
4. تحت دور التنفيذ¸ اختر الرابط للدور gen-ai-lambda-stack-BedrockTestLambdaFunctionRole-XXXXXXXXXXXX.
   

تتم إعادة توجيهك إلى وحدة تحكم IAM.

5. في مجلة سياسات الأذونات القسم، اختر أضف أذونات واختر إنشاء سياسة مضمنة.
   
6. على JSON علامة التبويب، قم بتعديل السياسة كما يلي:

   { "Version": "2012-10-17", "Statement": [ { "Sid": "eniperms", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:*VpcEndpoint*" ], "Resource": "*" } ]
   }

7. اختار التالى.
8. في حالة اسم السياسة، أدخل enivpce-policy.
9. اختار إنشاء سياسة.
   
10. أضف السياسة المضمنة التالية (قدم نقاط نهاية VPC المصدرية) لتقييد وصول Lambda إلى واجهات برمجة تطبيقات Amazon Bedrock فقط عبر نقاط نهاية VPC:

    { "Id": "lambda-bedrock-sourcevpce-access-only", "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:ListFoundationModels", "bedrock:InvokeModel" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:sourceVpce": [ "vpce-<bedrock-runtime-vpce>" ] } } } ]
    } 

11. في صفحة وظيفة Lambda، على الاعداد علامة التبويب، اختر VPC في الجزء الأيمن، ثم اختر تعديل.
    
12. في حالة VPC، اختر Bedrock-GenAI-Project-vpc.
13. في حالة الشبكات الفرعية، اختر الشبكات الفرعية الخاصة.
    
14. في حالة مجموعات الأمان، اختر gen-ai-lambda-stack-SecurityGroup- (مجموعة الأمان الخاصة بعبء عمل Amazon Bedrock في الشبكات الفرعية الخاصة).
15. اختار حفظ.
    

اختبار ضوابط الوصول الخاصة

يمكنك الآن اختبار عناصر التحكم في الوصول الخاص (Amazon Bedrock APIs عبر نقاط نهاية VPC).

1. في وحدة تحكم لامدا ، اختر وظائف في جزء التنقل.
2. اختر الوظيفة gen-ai-lambda-stack-BedrockTestLambdaFunction-XXXXXXXXXXXX.
3. على رمز علامة التبويب، اختر اختبار.

من المفترض أن تشاهد الاستجابة التالية من استدعاء Amazon Bedrock API (الحالة: ناجح).

4. لرفض الوصول إلى واجهات برمجة تطبيقات Amazon Bedrock عبر نقاط نهاية VPC، انتقل إلى وحدة تحكم Amazon VPC.
5. تحت سحابة خاصة افتراضية في جزء التنقل ، اختر النهاية.
6. اختر سياستك وانتقل إلى علامة تبويب السياسة.

حاليًا، تم تعيين سياسة نقطة نهاية VPC على Allow.

7. لرفض الوصول، اختر تحرير النهج.
   
8. التغيير Allow إلى Deny واختر حفظ.

قد يستغرق تحديث سياسة نقطة نهاية VPC ما يصل إلى دقيقتين.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/anthropic.claude-instant-v1" ], "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::<accountid>:role/GenAIStack-Bedrock" } } ]
}

9. ارجع إلى صفحة وظيفة Lambda وعلى رمز علامة التبويب، اختر اختبار.

كما هو موضح في لقطة الشاشة التالية، تم رفض طلب الوصول إلى Amazon Bedrock عبر نقطة نهاية VPC (الحالة: فشل).

من خلال عملية الاختبار هذه، أوضحنا كيف تمر حركة المرور من VPC إلى نقطة نهاية Amazon Bedrock API عبر اتصال PrivateLink وليس عبر اتصال الإنترنت.

تنظيف

اتبع هذه الخطوات لتجنب تكبد رسوم مستقبلية:

1. تنظيف نقاط نهاية VPC.
2. تنظيف VPC.
3. احذف مكدس CloudFormation.

وفي الختام

في هذا المنشور، أوضحنا كيفية إعداد اتصال خاص وتشغيله بين عبء عمل الذكاء الاصطناعي التوليدي المنشور على VPC للعميل الخاص بك وAmazon Bedrock باستخدام نقطة نهاية VPC للواجهة مدعومة من PrivateLink. عند استخدام البنية التي تمت مناقشتها في هذا المنشور، لن تغادر حركة المرور بين عميلك VPC وAmazon Bedrock شبكة Amazon، مما يضمن عدم تعرض بياناتك للإنترنت العام وبالتالي المساعدة في متطلبات الامتثال الخاصة بك.

كخطوة تالية، جرب الحل في حسابك وشارك بتعليقاتك.

حول المؤلف

رام فيتال هو مهندس حلول ML الرئيسي في AWS. يتمتع بخبرة تزيد عن 3 عقود في تصميم وبناء التطبيقات الموزعة والهجينة والسحابية. إنه متحمس لبناء حلول آمنة وقابلة للتطوير للذكاء الاصطناعي/التعلم الآلي والبيانات الضخمة لمساعدة عملاء المؤسسات في اعتماد السحابة ورحلة التحسين لتحسين نتائج أعمالهم. في أوقات فراغه، يركب دراجته النارية ويمشي مع كلبه شيبادودل البالغ من العمر 3 سنوات!

راي خورسندي هو متخصص في الذكاء الاصطناعي/تعلم الآلة في AWS، حيث يدعم العملاء الاستراتيجيين بأفضل ممارسات الذكاء الاصطناعي/تعلم الآلة. مع ماجستير. ودكتوراه. وهو حاصل على بكالوريوس في الهندسة الكهربائية وعلوم الكمبيوتر، وهو يقود المؤسسات لبناء حلول آمنة وقابلة للتطوير للذكاء الاصطناعي/التعلم الآلي وحلول البيانات الضخمة لتحسين اعتمادها على السحابة. تشمل اهتماماته رؤية الكمبيوتر، والبرمجة اللغوية العصبية، والذكاء الاصطناعي التوليدي، وعمليات MLOps. يستمتع راي بلعب كرة القدم وقضاء وقت ممتع مع العائلة.

مايكل دانيلز هو متخصص في الذكاء الاصطناعي/تعلم الآلة في AWS. تكمن خبرته في بناء وقيادة حلول الذكاء الاصطناعي/التعلم الآلي والذكاء الاصطناعي التوليدي لمشاكل الأعمال المعقدة والصعبة، والتي تم تعزيزها من خلال درجة الدكتوراه. من الجامعة. من ولاية تكساس ودرجة الماجستير. في علوم الكمبيوتر تخصص التعلم الآلي من معهد جورجيا للتكنولوجيا. وهو يبرع في تطبيق التقنيات السحابية المتطورة لابتكار وإلهام وتحويل المؤسسات الرائدة في الصناعة، مع التواصل الفعال أيضًا مع أصحاب المصلحة على أي مستوى أو نطاق. في أوقات فراغه، يمكنك اللحاق بمايكل وهو يتزلج أو يتزلج على الجليد في الجبال.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://aws.amazon.com/blogs/machine-learning/use-aws-privatelink-to-set-up-private-access-to-amazon-bedrock/