Requisitos previos para perfiles de inferencia - Amazon Bedrock

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos para perfiles de inferencia

Antes de utilizar la inferencia entre regiones, compruebe que cumple los siguientes requisitos previos:

  • Su rol tiene acceso a las acciones de la API de perfil de inferencia. Si su función tiene adjunta la política AmazonBedrockFullAccessAWSadministrada, puede omitir este paso. De lo contrario, realice lo siguiente:

    1. Siga los pasos que se indican en Creación de políticas de IAM y cree la siguiente política, que permite a un rol realizar acciones relacionadas con el perfil de inferencia y ejecutar la inferencia de modelos con todos los modelos fundacionales y perfiles de inferencia.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*",
                "bedrock:CreateInferenceProfile"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/*",
                "arn:aws:bedrock:*:*:inference-profile/*",
                "arn:aws:bedrock:*:*:application-inference-profile/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:GetInferenceProfile",
                "bedrock:ListInferenceProfiles",
                "bedrock:DeleteInferenceProfile",
                "bedrock:TagResource",
                "bedrock:UntagResource",
                "bedrock:ListTagsForResource"
            ],
            "Resource": [
                "arn:aws:bedrock:*:*:inference-profile/*",
                "arn:aws:bedrock:*:*:application-inference-profile/*"
            ]
        }
    ]
}

      (Opcional) Puede restringir el acceso al rol de las siguientes formas:

      • Para restringir las acciones de la API que puede realizar el rol, modifique la lista del campo Action para que contenga solo las operaciones de la API a las que desee otorgar acceso.

      • Para restringir el acceso del rol a perfiles de inferencia específicos, modifique la lista Resource para que contenga solo los perfiles de inferencia y los modelos básicos a los que desee otorgar acceso. Los perfiles de inferencia definidos por el sistema comienzan por inference-profile y los perfiles de inferencia de aplicaciones comienzan por application-inference-profile.

        importante

        Al especificar un perfil de inferencia en el campo Resource en la primera instrucción, también debe especificar el modelo fundacional asociado de cada región.

      • Para restringir el acceso de los usuarios de modo que puedan invocar un modelo fundacional únicamente a través de un perfil de inferencia, añada un campo Condition y utilice la clave de condición aws:InferenceProfileArn. Especifique el perfil de inferencia por el que quiere filtrar el acceso. Esta condición se puede incluir en una instrucción que se aplique a los recursos de foundation-model.

      • Por ejemplo, puede adjuntar la siguiente política a un rol para que solo pueda invocar el Anthropic Claude 3 Haiku modelo a través del perfil de Anthropic Claude 3 Haiku inferencia de EE. UU. en la cuenta de 111122223333 us-west-2:

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
                "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0"
            ],
            "Condition": {
                "StringLike": {
                    "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0"
                }
            }
        }
    ]
}

      • Por ejemplo, puede asociar la siguiente política a un rol para que solo pueda invocar el modelo Anthropic Claude Sonnet 4 a través del perfil de inferencia de Global Claude Sonnet 4 en la cuenta 111122223333 en us-west-2 (Este de EE. UU. (Ohio)).

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0",
                "arn:aws:bedrock:::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0"
            ],
            "Condition": {
                "StringLike": {
                    "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0"
                }
            }
        }
    ]
}

      • También puede restringir el uso del perfil de inferencia de Global Claude Sonnet 4 añadiendo una denegación explícita con una condición StringEquals que compruebe que la clave de contexto de la solicitud aws:RequestedRegion es igual a No especificada. Como coincide con StringEquals, la opción Denegar anula cualquier permiso y bloquea el enrutamiento de Global de las solicitudes de inferencia.

        {
    "Effect": "Deny",
    "Action": [
        "bedrock:InvokeModel*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:RequestedRegion": "unspecified"
        }
    }
},

    2. Siga los pasos que se indican en Adición y eliminación de permisos de identidad de IAM para asociar la política a un rol y concederle permisos para ver y usar todos los perfiles de inferencia.

  • Ha solicitado acceso al modelo definido en el perfil de inferencia que quiere utilizar, en la región desde la que quiere llamar al perfil de inferencia.