Voraussetzungen für Inferenzprofile - Amazon Bedrock

Voraussetzungen für Inferenzprofile

Bevor Sie ein Inferenzprofil verwenden können, müssen Sie prüfen, dass die folgenden Voraussetzungen erfüllt sind:

  • Ihre Rolle hat Zugriff auf die API-Aktionen für das Inferenzprofil. Wenn Ihrer Rolle die von AWS verwaltete Richtlinie AmazonBedrockFullAccess angefügt ist, können Sie diesen Abschnitt überspringen. Andernfalls gehen Sie wie folgt vor:

    1. Folgen Sie den Schritten unter Erstellen von IAM-Richtlinien und erstellen Sie die folgende Richtlinie, die einer Rolle erlaubt, inferenzprofilbezogene Aktionen auszuführen und Modellinferenz mit allen Basismodellen und Inferenzprofilen durchzuführen.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*",
                "bedrock:CreateInferenceProfile"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/*",
                "arn:aws:bedrock:*:*:inference-profile/*",
                "arn:aws:bedrock:*:*:application-inference-profile/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:GetInferenceProfile",
                "bedrock:ListInferenceProfiles",
                "bedrock:DeleteInferenceProfile",
                "bedrock:TagResource",
                "bedrock:UntagResource",
                "bedrock:ListTagsForResource"
            ],
            "Resource": [
                "arn:aws:bedrock:*:*:inference-profile/*",
                "arn:aws:bedrock:*:*:application-inference-profile/*"
            ]
        }
    ]
}

      (Optional) Sie können den Zugriff der Rolle wie folgt einschränken:

      • Um die API-Aktionen für die Rolle einzuschränken, ändern Sie die Liste im Action-Feld so, dass sie nur die API-Operationen enthält, für die Sie Zugriff gewähren möchten.

      • Wenn Sie den Zugriff der Rolle auf bestimmte Inferenzprofile einschränken möchten, ändern Sie die Resource-Liste so, dass sie nur die Inferenzprofile und Basismodelle enthält, für die Sie Zugriff gewähren möchten. Systemdefinierte Inferenzprofile beginnen mit inference-profile und Anwendungsinferenzprofile beginnen mit application-inference-profile.

        Wichtig

        Wenn Sie in der ersten Anweisung im Resource-Feld ein Inferenzprofil angeben, müssen Sie auch das Basismodell in den einzelnen Regionen angeben, die diesem Profil zugeordnet sind.

      • Um den Benutzerzugriff so einzuschränken, dass ein Basismodell nur über ein Inferenzprofil aufgerufen werden kann, fügen Sie ein Condition-Feld hinzu und verwenden den entsprechenden aws:InferenceProfileArn-Bedingungsschlüssel. Geben Sie das Inferenzprofil an, für das Sie den Zugriff filtern möchten. Diese Bedingung kann in eine Anweisung aufgenommen werden, die sich auf die foundation-model-Ressourcen bezieht.

      • Sie können einer Rolle beispielsweise die folgende Richtlinie zuordnen, damit sie das Modell Anthropic Claude 3 Haiku nur über das US-Inferenzprofil Anthropic Claude 3 Haiku im Konto 111122223333 in der Region us-west-2 aufrufen kann:

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
                "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0"
            ],
            "Condition": {
                "StringLike": {
                    "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0"
                }
            }
        }
    ]
}

      • Sie können einer Rolle beispielsweise die folgende Richtlinie zuordnen, damit sie das Modell Anthropic Claude Sonnet 4 nur über das globale Inferenzprofil Claude Sonnet 4 im Konto 111122223333 in der Region us-west-2 (USA Ost (Ohio)) aufrufen kann:

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0",
                "arn:aws:bedrock:::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0"
            ],
            "Condition": {
                "StringLike": {
                    "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0"
                }
            }
        }
    ]
}

      • Sie können die Verwendung des globalen Claude Sonnet 4-Inferenzprofils auch einschränken, indem Sie ein explizites DENY mit einer StringEquals-Bedingung hinzufügen, die prüft, ob der Kontextanforderungsschlüssel aws:RequestedRegion gleich UNSPECIFIED ist. Da eine Übereinstimmung mit StringEquals besteht, überschreibt der Wert „Deny“ jedes „Allow“ und blockiert die globale Übermittlung von Inferenzanfragen.

        {
    "Effect": "Deny",
    "Action": [
        "bedrock:InvokeModel*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:RequestedRegion": "unspecified"
        }
    }
},

    2. Folgen Sie den Schritten unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen, um die Richtlinie an eine Rolle anzufügen und der Rolle Berechtigungen zum Anzeigen und Verwenden aller Inferenzprofile zu erteilen.

  • Sie haben Zugriff auf das Modell angefordert, das im Inferenzprofil definiert ist und das Sie verwenden möchten, und zwar in der Region, aus der Sie das Inferenzprofil aufrufen möchten.