Permisos necesarios para que una identidad de IAM envíe y administre trabajos de inferencia en lotes Permisos necesarios para que un rol de servicio realice la inferencia en lotes

Permisos obligatorios para la inferencia por lotes

Para realizar la inferencia en lotes, debe configurar los permisos para las siguientes identidades de IAM:

La identidad de IAM que creará y administrará los trabajos de inferencia en lotes.
El rol de servicio de inferencia en lotes que adopta Amazon Bedrock para realizar acciones en su nombre.

Para obtener información sobre cómo configurar los permisos para cada identidad, consulte los siguientes temas:

Temas

Permisos necesarios para que una identidad de IAM envíe y administre trabajos de inferencia en lotes
Permisos necesarios para que un rol de servicio realice la inferencia en lotes

Permisos necesarios para que una identidad de IAM envíe y administre trabajos de inferencia en lotes

Para que una identidad de IAM utilice esta característica, debe configurarla con los permisos necesarios. Para ello, siga uno de estos pasos:

Para permitir que una identidad lleve a cabo todas las acciones de Amazon Bedrock, adjunte la AmazonBedrockFullAccesspolítica a la identidad. Si hace esto, puede omitir este tema. Esta opción es menos segura.
Como práctica recomendada de seguridad, debe conceder a una identidad únicamente las acciones necesarias. En este tema se describen los permisos que necesita para esta característica.

Para restringir los permisos solo a las acciones que se utilizan para la inferencia en lotes, asocie la siguiente política basada en identidades a una identidad de IAM:

Para restringir aún más los permisos, puede omitir acciones o puede especificar recursos y claves de condición para filtrar los permisos. Para obtener más información sobre las acciones, los recursos y las claves de condición, consulte los siguientes temas en la Referencia de autorizaciones de servicio:

Acciones definidas por Amazon Bedrock: obtenga información sobre las acciones, los tipos de recursos a los que puede aplicarlas en el campo Resource y las claves de condición que puede usar para filtrar los permisos en el campo Condition.
Tipos de recursos definidos por Amazon Bedrock: obtenga información sobre los tipos de recursos de Amazon Bedrock.
Claves de condición de Amazon Bedrock: obtenga información sobre las claves de condición de Amazon Bedrock.

El siguiente es un ejemplo que reduce el alcance de los permisos para la inferencia en lotes para permitir que solo un usuario con el ID de cuenta 123456789012 pueda crear trabajos de inferencia en lotes en la región us-west-2 con el modelo Anthropic Claude 3 Haiku:

Permisos necesarios para que un rol de servicio realice la inferencia en lotes

La inferencia en lotes la realiza un rol de servicio que adopta su identidad para realizar acciones en su nombre. Puede crear un rol de servicio de las siguientes formas:

Deje que Amazon Bedrock cree automáticamente un rol de servicio con los permisos necesarios para usted mediante la Consola de administración de AWS. Puede seleccionar esta opción al crear un trabajo de inferencia en lotes.
Cree un rol de servicio personalizado para Amazon Bedrock utilizando AWS Identity and Access Management y adjunte los permisos necesarios. Cuando envíe el trabajo de inferencia en lotes, especifique este rol. Para obtener más información acerca de cómo crear un rol de servicio personalizado para la inferencia en lotes, consulte Creación de un rol de servicio personalizado para la inferencia en lotes. Para obtener información más general acerca de la creación de roles de servicio, consulte Creación de un rol para delegar permisos a un Servicio de AWS en la Guía del usuario de IAM.

importante

Si el depósito de S3 en el que cargó los datos para la inferencia de lotes se encuentra en otroCuenta de AWS, debe configurar una política de depósito de S3 para permitir que el rol de servicio acceda a los datos. Debe configurar esta política de forma manual, aunque utilice la consola para crear un rol de servicio de forma automática. Para obtener información sobre cómo configurar una política de bucket de S3 para los recursos de Amazon Bedrock, consulte Asociación de una política de bucket a un bucket de Amazon S3 para permitir el acceso de otra cuenta.
Los modelos básicos de Amazon Bedrock son recursos AWS gestionados que no se pueden utilizar con condiciones de política de IAM que exijan la propiedad del cliente. Estos modelos son propiedad de clientes individuales y están operados por ellosAWS, y no pueden ser propiedad de ellos. Cualquier condición de la política de IAM que compruebe si los recursos son propiedad del cliente (como las condiciones que utilizan etiquetas de recursos, el identificador de la organización u otros atributos de propiedad) no se cumplirá si se aplica a los modelos básicos, lo que podría bloquear el acceso legítimo a estos servicios.

Por ejemplo, si tu política incluye una aws:ResourceOrgID condición como la siguiente:
```
{
  "Condition": {
    "StringEqualsIgnoreCase": {
      "aws:ResourceOrgID": ["o-xxxxxxxx"]
    }
  }
}
```
Su trabajo de inferencia por lotes fallará conAccessDeniedException. Elimine la aws:ResourceOrgID condición o cree declaraciones de políticas independientes para los modelos básicos.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración de datos

[Opcional] Configuración de una VPC