Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Requisitos previos para perfiles de inferencia Antes de utilizar la inferencia entre regiones, compruebe que cumple los siguientes requisitos previos: + Su rol tiene acceso a las acciones de la API de perfil de inferencia. Si su función tiene adjunta la política [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)AWSadministrada, puede omitir este paso. De lo contrario, realice lo siguiente: 1. Siga los pasos que se indican en [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) y cree la siguiente política, que permite a un rol realizar acciones relacionadas con el perfil de inferencia y ejecutar la inferencia de modelos con todos los modelos fundacionales y perfiles de inferencia. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*", "bedrock:CreateInferenceProfile" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*", "arn:aws:bedrock:*:*:inference-profile/*", "arn:aws:bedrock:*:*:application-inference-profile/*" ] }, { "Effect": "Allow", "Action": [ "bedrock:GetInferenceProfile", "bedrock:ListInferenceProfiles", "bedrock:DeleteInferenceProfile", "bedrock:TagResource", "bedrock:UntagResource", "bedrock:ListTagsForResource" ], "Resource": [ "arn:aws:bedrock:*:*:inference-profile/*", "arn:aws:bedrock:*:*:application-inference-profile/*" ] } ] } ``` ------ (Opcional) Puede restringir el acceso al rol de las siguientes formas: + Para restringir las acciones de la API que puede realizar el rol, modifique la lista del campo `Action` para que contenga solo las [operaciones de la API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) a las que desee otorgar acceso. + Para restringir el acceso del rol a perfiles de inferencia específicos, modifique la lista `Resource` para que contenga solo los [perfiles de inferencia](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) y los modelos básicos a los que desee otorgar acceso. Los perfiles de inferencia definidos por el sistema comienzan por `inference-profile` y los perfiles de inferencia de aplicaciones comienzan por `application-inference-profile`. **importante** Al especificar un perfil de inferencia en el campo `Resource` en la primera instrucción, también debe especificar el modelo fundacional asociado de cada región. + Para restringir el acceso de los usuarios de modo que puedan invocar un modelo fundacional únicamente a través de un perfil de inferencia, añada un campo `Condition` y utilice la [clave de condición](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) `aws:InferenceProfileArn`. Especifique el perfil de inferencia por el que quiere filtrar el acceso. Esta condición se puede incluir en una instrucción que se aplique a los recursos de `foundation-model`. + Por ejemplo, puede adjuntar la siguiente política a un rol para que solo pueda invocar el Anthropic Claude 3 Haiku modelo a través del perfil de Anthropic Claude 3 Haiku inferencia de EE. UU. en la cuenta de {{111122223333}} us-west-2: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*" ], "Resource": [ "arn:aws:bedrock:us-west-2:{{111122223333}}:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0" ] }, { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*" ], "Resource": [ "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-3-haiku-20240307-v1:0", "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0" ], "Condition": { "StringLike": { "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-west-2:{{111122223333}}:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0" } } } ] } ``` ------ + Por ejemplo, puede asociar la siguiente política a un rol para que solo pueda invocar el modelo Anthropic Claude Sonnet 4 a través del perfil de inferencia de Global Claude Sonnet 4 en la cuenta 111122223333 en us-west-2 (Este de EE. UU. (Ohio)). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*" ], "Resource": [ "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0" ] }, { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*" ], "Resource": [ "arn:aws:bedrock:us-east-2::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0", "arn:aws:bedrock:::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0" ], "Condition": { "StringLike": { "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0" } } } ] } ``` ------ + También puede restringir el uso del perfil de inferencia de Global Claude Sonnet 4 añadiendo una denegación explícita con una condición `StringEquals` que compruebe que la clave de contexto de la solicitud `aws:RequestedRegion` es igual a No especificada. Como coincide con `StringEquals`, la opción Denegar anula cualquier permiso y bloquea el enrutamiento de Global de las solicitudes de inferencia. ``` { "Effect": "Deny", "Action": [ "bedrock:InvokeModel*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": "unspecified" } } }, ``` 1. Siga los pasos que se indican en [Adición y eliminación de permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) para asociar la política a un rol y concederle permisos para ver y usar todos los perfiles de inferencia. + Ha solicitado acceso al modelo definido en el perfil de inferencia que quiere utilizar, en la región desde la que quiere llamar al perfil de inferencia.