Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Conditions préalables pour les profils d’inférence Avant d’utiliser un profil d’inférence, assurez-vous que les conditions préalables suivantes sont réunies : + Votre rôle a accès aux actions de l’API du profil d’inférence. Si la politique [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)AWSgérée est attachée à votre rôle, vous pouvez ignorer cette étape. Sinon, procédez comme suit : 1. Suivez les étapes décrites dans [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) et créez la politique suivante, qui permet à un rôle d’effectuer des actions liées au profil d’inférence et d’exécuter l’inférence de modèle à l’aide de tous les modèles de fondation et profils d’inférence. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*", "bedrock:CreateInferenceProfile" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*", "arn:aws:bedrock:*:*:inference-profile/*", "arn:aws:bedrock:*:*:application-inference-profile/*" ] }, { "Effect": "Allow", "Action": [ "bedrock:GetInferenceProfile", "bedrock:ListInferenceProfiles", "bedrock:DeleteInferenceProfile", "bedrock:TagResource", "bedrock:UntagResource", "bedrock:ListTagsForResource" ], "Resource": [ "arn:aws:bedrock:*:*:inference-profile/*", "arn:aws:bedrock:*:*:application-inference-profile/*" ] } ] } ``` ------ (Facultatif) Vous pouvez restreindre l’accès du rôle des manières suivantes : + Pour restreindre les actions d’API que le rôle peut effectuer, modifiez la liste du champ `Action` pour qu’il ne contienne que les [opérations d’API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) auxquelles vous souhaitez autoriser l’accès. + Pour restreindre l’accès du rôle à des profils d’inférence spécifiques, modifiez la liste `Resource` pour qu’elle ne contienne que les [profils d’inférence](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) et les modèles de fondation auxquels vous souhaitez autoriser l’accès. Les profils d’inférence définis par le système commencent par `inference-profile` et les profils d’inférence d’application commencent par `application-inference-profile`. **Important** Lorsque vous spécifiez un profil d’inférence dans le champ `Resource` de la première instruction, vous devez également spécifier le modèle de fondation dans chaque région qui lui est associée. + Pour restreindre l’accès des utilisateurs afin qu’ils puissent invoquer un modèle de fondation uniquement via un profil d’inférence, ajoutez un champ `Condition` et utilisez la [clé de condition](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) `aws:InferenceProfileArn`. Spécifiez le profil d’inférence sur lequel vous souhaitez filtrer l’accès. Cette condition peut être incluse dans une instruction qui s’applique aux ressources `foundation-model`. + Par exemple, vous pouvez associer la politique suivante à un rôle pour lui permettre d'invoquer le Anthropic Claude 3 Haiku modèle uniquement via le profil d'AnthropicClaude 3 Haikuinférence américain dans le compte {{111122223333}} dans us-west-2 : ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*" ], "Resource": [ "arn:aws:bedrock:us-west-2:{{111122223333}}:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0" ] }, { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*" ], "Resource": [ "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-3-haiku-20240307-v1:0", "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0" ], "Condition": { "StringLike": { "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-west-2:{{111122223333}}:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0" } } } ] } ``` ------ + Par exemple, vous pouvez associer la politique suivante à un rôle pour lui permettre d’invoquer le modèle Anthropic Claude Sonnet 4 uniquement via le profil d’inférence américain Claude Sonnet 4 du compte 111122223333 dans la région USA Est (Ohio) (us-east-2) : ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*" ], "Resource": [ "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0" ] }, { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*" ], "Resource": [ "arn:aws:bedrock:us-east-2::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0", "arn:aws:bedrock:::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0" ], "Condition": { "StringLike": { "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0" } } } ] } ``` ------ + Vous pouvez également restreindre l’utilisation du profil d’inférence global Claude Sonnet 4 en ajoutant un refus explicite avec une condition `StringEquals` qui vérifie que la clé de contexte de la demande `aws:RequestedRegion` est égale à non spécifiée. Parce qu’il correspond à `StringEquals`, le refus remplace toute autorisation et bloque l’acheminement global des demandes d’inférence. ``` { "Effect": "Deny", "Action": [ "bedrock:InvokeModel*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": "unspecified" } } }, ``` 1. Suivez les étapes décrites dans [Ajout et suppression d’autorisations basées sur l’identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) pour associer la politique à un rôle afin d’accorder au rôle les autorisations nécessaires pour consulter et utiliser tous les profils d’inférence. + Vous avez demandé l’accès au modèle défini dans le profil d’inférence que vous souhaitez utiliser, dans la région à partir de laquelle vous souhaitez appeler le profil d’inférence.