Autorisations requises pour l’inférence par lots - Amazon Bedrock
Autorisations requises pour qu’une identité IAM puisse soumettre et gérer des tâches d’inférence par lotsAutorisations requises pour qu’un rôle de service puisse effectuer une inférence par lots

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations requises pour l’inférence par lots

Pour effectuer une inférence par lots, vous devez configurer des autorisations pour les identités IAM suivantes :

  • L’identité IAM qui créera et gérera les tâches d’inférence par lots.

  • Le rôle de service d’inférence par lots qu’Amazon Bedrock endosse pour effectuer des actions en votre nom.

Pour découvrir comment configurer des autorisations pour chaque identité, consultez les rubriques suivantes :

Autorisations requises pour qu’une identité IAM puisse soumettre et gérer des tâches d’inférence par lots

Pour qu’une identité IAM puisse utiliser cette fonctionnalité, vous devez la configurer avec les autorisations nécessaires. Pour ce faire, effectuez l’une des opérations suivantes :

  • Pour permettre à une identité d'effectuer toutes les actions d'Amazon Bedrock, associez la AmazonBedrockFullAccesspolitique à l'identité. Dans ce cas, vous pouvez ignorer cette rubrique. Cette option est moins sécurisée.

  • La bonne pratique en matière de sécurité consiste à accorder uniquement les actions nécessaires à une identité. Cette rubrique décrit les autorisations dont vous avez besoin pour cette fonctionnalité.

Pour restreindre les autorisations aux actions utilisées pour l’inférence par lots, associez la politique basée sur l’identité suivante à un rôle IAM :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "BatchInference",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:ListInferenceProfiles",
                "bedrock:GetInferenceProfile",
                "bedrock:ListCustomModels",
                "bedrock:GetCustomModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource",
                "bedrock:CreateModelInvocationJob",
                "bedrock:GetModelInvocationJob",
                "bedrock:ListModelInvocationJobs",
                "bedrock:StopModelInvocationJob"
            ],
            "Resource": "*"
        }
    ]   
}

Pour restreindre davantage les autorisations, vous pouvez omettre des actions ou spécifier des ressources et des clés de condition permettant de filtrer les autorisations. Pour plus d’informations sur les actions, les ressources et les clés de condition, consultez les rubriques suivantes dans la Référence des autorisations de service :

La politique suivante est un exemple qui limite les autorisations pour l’inférence par lots afin de permettre uniquement à un utilisateur possédant l’ID de compte 123456789012 de créer des tâches d’inférence par lots dans la région us-west-2 en utilisant le modèle Anthropic Claude 3 Haiku :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateBatchInferenceJob",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateModelInvocationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
                "arn:aws:bedrock:us-west-2:123456789012:model-invocation-job/*"
            ]
        }
    ]
}

Autorisations requises pour qu’un rôle de service puisse effectuer une inférence par lots

L’inférence par lots est effectuée par un rôle de service qui endosse votre identité pour effectuer des actions en votre nom. Vous créez un rôle de service des manières suivantes :

  • Laissez Amazon Bedrock créer automatiquement un rôle de service avec les autorisations nécessaires pour vous en utilisant la AWS Management Console. Vous pouvez sélectionner cette option lorsque vous créez une tâche d’inférence par lots.

  • Créez un rôle de service personnalisé pour Amazon Bedrock en utilisant Gestion des identités et des accès AWS et en attachant les autorisations nécessaires. Lorsque vous soumettez la tâche d’inférence par lots, vous spécifiez ensuite ce rôle. Pour plus d’informations sur la création d’un rôle de service personnalisé pour l’inférence par lots, consultez Création d’un rôle de service pour l’inférence par lots. Pour plus d’informations sur la création de rôles de service, consultez Création d’un rôle pour la délégation d’autorisations à un Service AWS dans le Guide de l’utilisateur IAM.

Important

  • Si le compartiment S3 dans lequel vous avez chargé vos données pour l'inférence par lots se trouve dans un autre compartimentCompte AWS, vous devez configurer une politique de compartiment S3 pour autoriser le rôle de service à accéder aux données. Vous devez configurer manuellement cette politique même si vous utilisez la console pour créer automatiquement un rôle de service. Pour savoir comment configurer une stratégie de compartiment S3 pour les ressources Amazon Bedrock, consultez Association d’une stratégie de compartiment à un compartiment Amazon S3 pour autoriser l’accès d’un autre compte.

  • Les modèles de base d'Amazon Bedrock sont des ressources AWS gérées qui ne peuvent pas être utilisées dans le cadre des conditions de politique IAM exigeant la propriété du client. Ces modèles sont détenus et exploités par AWS des clients individuels et ne peuvent pas être détenus par des clients individuels. Toute condition de politique IAM qui vérifie les ressources appartenant au client (telles que les conditions utilisant des balises de ressource, un identifiant d'organisation ou d'autres attributs de propriété) échouera lorsqu'elle est appliquée aux modèles de base, bloquant potentiellement l'accès légitime à ces services.

    Par exemple, si votre police inclut une aws:ResourceOrgID condition comme celle-ci :

    {
  "Condition": {
    "StringEqualsIgnoreCase": {
      "aws:ResourceOrgID": ["o-xxxxxxxx"]
    }
  }
}

    Votre tâche d'inférence par lots échouera avecAccessDeniedException. Supprimez la aws:ResourceOrgID condition ou créez des déclarations de politique distinctes pour les modèles de base.