Voraussetzungen für Inferenzprofile - Amazon Bedrock

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen für Inferenzprofile

Bevor Sie ein Inferenzprofil verwenden können, müssen Sie prüfen, dass die folgenden Voraussetzungen erfüllt sind:

  • Ihre Rolle hat Zugriff auf die API-Aktionen für das Inferenzprofil. Wenn an Ihre Rolle die AmazonBedrockFullAccessAWS-managed Policy angehängt ist, können Sie diesen Schritt überspringen. Andernfalls gehen Sie wie folgt vor:

    1. Folgen Sie den Schritten unter Erstellen von IAM-Richtlinien und erstellen Sie die folgende Richtlinie, die einer Rolle erlaubt, inferenzprofilbezogene Aktionen auszuführen und Modellinferenz mit allen Basismodellen und Inferenzprofilen durchzuführen.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*",
                "bedrock:CreateInferenceProfile"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/*",
                "arn:aws:bedrock:*:*:inference-profile/*",
                "arn:aws:bedrock:*:*:application-inference-profile/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:GetInferenceProfile",
                "bedrock:ListInferenceProfiles",
                "bedrock:DeleteInferenceProfile",
                "bedrock:TagResource",
                "bedrock:UntagResource",
                "bedrock:ListTagsForResource"
            ],
            "Resource": [
                "arn:aws:bedrock:*:*:inference-profile/*",
                "arn:aws:bedrock:*:*:application-inference-profile/*"
            ]
        }
    ]
}

      (Optional) Sie können den Zugriff der Rolle wie folgt einschränken:

      • Um die API-Aktionen für die Rolle einzuschränken, ändern Sie die Liste im Action-Feld so, dass sie nur die API-Operationen enthält, für die Sie Zugriff gewähren möchten.

      • Wenn Sie den Zugriff der Rolle auf bestimmte Inferenzprofile einschränken möchten, ändern Sie die Resource-Liste so, dass sie nur die Inferenzprofile und Basismodelle enthält, für die Sie Zugriff gewähren möchten. Systemdefinierte Inferenzprofile beginnen mit inference-profile und Anwendungsinferenzprofile beginnen mit application-inference-profile.

        Wichtig

        Wenn Sie in der ersten Anweisung im Resource-Feld ein Inferenzprofil angeben, müssen Sie auch das Basismodell in den einzelnen Regionen angeben, die diesem Profil zugeordnet sind.

      • Um den Benutzerzugriff so einzuschränken, dass ein Basismodell nur über ein Inferenzprofil aufgerufen werden kann, fügen Sie ein Condition-Feld hinzu und verwenden den entsprechenden aws:InferenceProfileArn-Bedingungsschlüssel. Geben Sie das Inferenzprofil an, für das Sie den Zugriff filtern möchten. Diese Bedingung kann in eine Anweisung aufgenommen werden, die sich auf die foundation-model-Ressourcen bezieht.

      • Sie können einer Rolle beispielsweise die folgende Richtlinie zuordnen, damit sie das Anthropic Claude 3 Haiku Modell nur über das Anthropic Claude 3 Haiku US-Inferenzprofil im Konto 111122223333 in us-west-2 aufrufen kann:

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
                "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0"
            ],
            "Condition": {
                "StringLike": {
                    "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0"
                }
            }
        }
    ]
}

      • Sie können einer Rolle beispielsweise die folgende Richtlinie zuordnen, damit sie das Modell Anthropic Claude Sonnet 4 nur über das globale Inferenzprofil Claude Sonnet 4 im Konto 111122223333 in der Region us-west-2 (USA Ost (Ohio)) aufrufen kann:

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0",
                "arn:aws:bedrock:::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0"
            ],
            "Condition": {
                "StringLike": {
                    "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0"
                }
            }
        }
    ]
}

      • Sie können die Verwendung des globalen Claude Sonnet 4-Inferenzprofils auch einschränken, indem Sie ein explizites DENY mit einer StringEquals-Bedingung hinzufügen, die prüft, ob der Kontextanforderungsschlüssel aws:RequestedRegion gleich UNSPECIFIED ist. Da eine Übereinstimmung mit StringEquals besteht, überschreibt der Wert „Deny“ jedes „Allow“ und blockiert die globale Übermittlung von Inferenzanfragen.

        {
    "Effect": "Deny",
    "Action": [
        "bedrock:InvokeModel*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:RequestedRegion": "unspecified"
        }
    }
},

    2. Folgen Sie den Schritten unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen, um die Richtlinie an eine Rolle anzufügen und der Rolle Berechtigungen zum Anzeigen und Verwenden aller Inferenzprofile zu erteilen.

  • Sie haben Zugriff auf das Modell angefordert, das im Inferenzprofil definiert ist und das Sie verwenden möchten, und zwar in der Region, aus der Sie das Inferenzprofil aufrufen möchten.