Erforderliche Berechtigungen für eine Batch-Inferenz - Amazon Bedrock
Erforderliche Berechtigungen für eine IAM-Identität zum Senden und Verwalten von Batch-InferenzaufträgenErforderliche Berechtigungen für eine Servicerolle zur Durchführung einer Batch-Inferenz

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erforderliche Berechtigungen für eine Batch-Inferenz

Zum Durchführen einer Batch-Inferenz müssen Sie Berechtigungen für die folgenden IAM-Identitäten einrichten:

  • die IAM-Identität, die Batch-Inferenzaufträge erstellt und verwaltet

  • die Servicerolle der Batch-Inferenz, die Amazon Bedrock annimmt, um Aktionen in Ihrem Namen auszuführen

Weitere Informationen zum Einrichten von Berechtigungen für die einzelnen Identitäten finden Sie in den folgenden Themen:

Erforderliche Berechtigungen für eine IAM-Identität zum Senden und Verwalten von Batch-Inferenzaufträgen

Damit eine IAM-Identität dieses Feature verwenden kann, müssen Sie es mit den erforderlichen Berechtigungen konfigurieren. Führen Sie dazu einen der folgenden Schritte aus:

  • Damit eine Identität alle Amazon Bedrock-Aktionen ausführen kann, fügen Sie die AmazonBedrockFullAccessRichtlinie der Identität bei. Wenn Sie das tun, können Sie dieses Thema überspringen. Diese Option ist weniger sicher.

  • Sie sollten aus Sicherheitsgründen einer Identität nur das Ausführen der erforderlichen Aktionen erlauben. In diesem Thema werden die Berechtigungen beschrieben, die für das Feature benötigt werden.

Um Berechtigungen nur auf Aktionen zu beschränken, die für die Batch-Inferenz verwendet werden, hängen Sie folgende identitätsbasierte Richtlinie an eine IAM-Identität an:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "BatchInference",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:ListInferenceProfiles",
                "bedrock:GetInferenceProfile",
                "bedrock:ListCustomModels",
                "bedrock:GetCustomModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource",
                "bedrock:CreateModelInvocationJob",
                "bedrock:GetModelInvocationJob",
                "bedrock:ListModelInvocationJobs",
                "bedrock:StopModelInvocationJob"
            ],
            "Resource": "*"
        }
    ]   
}

Wenn Sie Berechtigungen weiter einschränken möchten, können Sie Aktionen weglassen oder Ressourcen und Bedingungsschlüssel angeben, nach denen Berechtigungen gefiltert werden sollen. Weitere Informationen über Aktionen, Ressourcen und Bedingungsschlüssel finden Sie in den folgenden Themen in der Referenz zur Serviceautorisierung:

Die folgende Richtlinie veranschaulicht, wie Berechtigungen für die Batch-Inferenz eingeschränkt werden, sodass nur ein Benutzer mit der Konto-ID 123456789012 Batch-Inferenzaufträge in der us-west-2-Region mithilfe des Modells Anthropic Claude 3 Haiku erstellen kann.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateBatchInferenceJob",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateModelInvocationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
                "arn:aws:bedrock:us-west-2:123456789012:model-invocation-job/*"
            ]
        }
    ]
}

Erforderliche Berechtigungen für eine Servicerolle zur Durchführung einer Batch-Inferenz

Die Batch-Inferenz wird von einer Servicerolle durchgeführt, die Ihre Identität annimmt, um Aktionen in Ihrem Namen auszuführen. Sie können eine Servicerolle auf folgende Weise erstellen:

  • Lassen Sie Amazon Bedrock automatisch eine Servicerolle mit den erforderlichen Berechtigungen mittels der AWS-Managementkonsole für Sie erstellen. Sie können diese Option auswählen, wenn Sie einen Batch-Inferenzauftrag erstellen.

  • Erstellen Sie eine benutzerdefinierte Servicerolle für Amazon Bedrock, indem Sie die erforderlichen Berechtigungen verwenden AWS Identity and Access Management und anhängen. Wenn Sie den Batch-Inferenzauftrag übermitteln, geben Sie diese Rolle an. Weitere Informationen zum Erstellen einer benutzerdefinierten Servicerolle für eine Batch-Inferenz finden Sie unter Erstellen eine benutzerdefinierten Servicerolle für die Batch-Inferenz. Weitere allgemeine Informationen zum Erstellen von Servicerollen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service im IAM-Benutzerhandbuch.

Wichtig

  • Wenn sich der S3-Bucket, in den Sie Ihre Daten für die Batch-Inferenz hochgeladen haben, in einem anderen befindetAWS-Konto, müssen Sie eine S3-Bucket-Richtlinie konfigurieren, um der Servicerolle den Zugriff auf die Daten zu ermöglichen. Sie müssen diese Richtlinie manuell konfigurieren, auch wenn Sie die Konsole verwenden, um automatisch eine Servicerolle zu erstellen. Informationen zur Konfiguration einer S3-Bucket-Richtlinie für Amazon-Bedrock-Ressourcen finden Sie unter Fügen Sie eine Bucket-Richtlinie an einen Amazon-S3-Bucket an, um einem anderen Konto den Zugriff darauf zu erlauben..

  • Bei den Foundation-Modellen in Amazon Bedrock handelt es sich um AWS verwaltete Ressourcen, die nicht verwendet werden können, wenn die IAM-Richtlinien die Eigenverantwortung des Kunden erfordern. Diese Modelle sind Eigentum einzelner Kunden und werden von ihnen AWS betrieben und können nicht Eigentum von ihnen sein. Jede IAM-Richtlinienbedingung, die nach kundeneigenen Ressourcen sucht (z. B. Bedingungen, die Ressourcen-Tags, Organisations-ID oder andere Eigentümerattribute verwenden), schlägt fehl, wenn sie auf Foundation-Modelle angewendet wird, wodurch möglicherweise der legitime Zugriff auf diese Dienste blockiert wird.

    Wenn Ihre Richtlinie beispielsweise eine aws:ResourceOrgID Bedingung wie die folgende beinhaltet:

    {
  "Condition": {
    "StringEqualsIgnoreCase": {
      "aws:ResourceOrgID": ["o-xxxxxxxx"]
    }
  }
}

    Ihr Batch-Inferenzjob schlägt mit AccessDeniedException fehl. Entfernen Sie die aws:ResourceOrgID Bedingung oder erstellen Sie separate Richtlinienerklärungen für Foundation-Modelle.