Conditions préalables pour les profils d’inférence - Amazon Bedrock

Conditions préalables pour les profils d’inférence

Avant d’utiliser un profil d’inférence, assurez-vous que les conditions préalables suivantes sont réunies :

  • Votre rôle a accès aux actions de l’API du profil d’inférence. Si la politique gérée par AWS AmazonBedrockFullAccess est associée à votre rôle, vous pouvez ignorer cette étape. Sinon, procédez comme suit :

    1. Suivez les étapes décrites dans Création de politiques IAM et créez la politique suivante, qui permet à un rôle d’effectuer des actions liées au profil d’inférence et d’exécuter l’inférence de modèle à l’aide de tous les modèles de fondation et profils d’inférence.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*",
                "bedrock:CreateInferenceProfile"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/*",
                "arn:aws:bedrock:*:*:inference-profile/*",
                "arn:aws:bedrock:*:*:application-inference-profile/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:GetInferenceProfile",
                "bedrock:ListInferenceProfiles",
                "bedrock:DeleteInferenceProfile",
                "bedrock:TagResource",
                "bedrock:UntagResource",
                "bedrock:ListTagsForResource"
            ],
            "Resource": [
                "arn:aws:bedrock:*:*:inference-profile/*",
                "arn:aws:bedrock:*:*:application-inference-profile/*"
            ]
        }
    ]
}

      (Facultatif) Vous pouvez restreindre l’accès du rôle des manières suivantes :

      • Pour restreindre les actions d’API que le rôle peut effectuer, modifiez la liste du champ Action pour qu’il ne contienne que les opérations d’API auxquelles vous souhaitez autoriser l’accès.

      • Pour restreindre l’accès du rôle à des profils d’inférence spécifiques, modifiez la liste Resource pour qu’elle ne contienne que les profils d’inférence et les modèles de fondation auxquels vous souhaitez autoriser l’accès. Les profils d’inférence définis par le système commencent par inference-profile et les profils d’inférence d’application commencent par application-inference-profile.

        Important

        Lorsque vous spécifiez un profil d’inférence dans le champ Resource de la première instruction, vous devez également spécifier le modèle de fondation dans chaque région qui lui est associée.

      • Pour restreindre l’accès des utilisateurs afin qu’ils puissent invoquer un modèle de fondation uniquement via un profil d’inférence, ajoutez un champ Condition et utilisez la clé de condition aws:InferenceProfileArn. Spécifiez le profil d’inférence sur lequel vous souhaitez filtrer l’accès. Cette condition peut être incluse dans une instruction qui s’applique aux ressources foundation-model.

      • Par exemple, vous pouvez associer la politique suivante à un rôle pour lui permettre d’invoquer le modèle Anthropic Claude 3 Haiku uniquement via le profil d’inférence américain Anthropic Claude 3 Haiku du compte 111122223333 dans la région us-west-2 :

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
                "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0"
            ],
            "Condition": {
                "StringLike": {
                    "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0"
                }
            }
        }
    ]
}

      • Par exemple, vous pouvez associer la politique suivante à un rôle pour lui permettre d’invoquer le modèle Anthropic Claude Sonnet 4 uniquement via le profil d’inférence américain Claude Sonnet 4 du compte 111122223333 dans la région USA Est (Ohio) (us-east-2) :

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0",
                "arn:aws:bedrock:::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0"
            ],
            "Condition": {
                "StringLike": {
                    "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0"
                }
            }
        }
    ]
}

      • Vous pouvez également restreindre l’utilisation du profil d’inférence global Claude Sonnet 4 en ajoutant un refus explicite avec une condition StringEquals qui vérifie que la clé de contexte de la demande aws:RequestedRegion est égale à non spécifiée. Parce qu’il correspond à StringEquals, le refus remplace toute autorisation et bloque l’acheminement global des demandes d’inférence.

        {
    "Effect": "Deny",
    "Action": [
        "bedrock:InvokeModel*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:RequestedRegion": "unspecified"
        }
    }
},

    2. Suivez les étapes décrites dans Ajout et suppression d’autorisations basées sur l’identité IAM pour associer la politique à un rôle afin d’accorder au rôle les autorisations nécessaires pour consulter et utiliser tous les profils d’inférence.

  • Vous avez demandé l’accès au modèle défini dans le profil d’inférence que vous souhaitez utiliser, dans la région à partir de laquelle vous souhaitez appeler le profil d’inférence.