Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Conditions préalables pour le débit provisionné Avant de pouvoir acheter et gérer le débit provisionné, vous devez remplir les conditions préalables suivantes : 1. [Demandez l'accès au ou aux modèles](model-access.md) pour lesquels vous souhaitez acheter Provisioned Throughput. Une fois l'accès accordé, vous pouvez acheter du débit provisionné pour le modèle de base et tous les modèles personnalisés à partir de celui-ci. 1. Assurez-vous que votre rôle IAM a accès aux actions de l'API Provisioned Throughput. Si la politique [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)AWSgérée est attachée à votre rôle, vous pouvez ignorer cette étape. Sinon, procédez comme suit : 1. Suivez les étapes décrites dans la [section Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) et créez la politique suivante, qui permet à un rôle de créer un débit provisionné pour tous les modèles de base et personnalisés. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "PermissionsForProvisionedThroughput", "Effect": "Allow", "Action": [ "bedrock:GetFoundationModel", "bedrock:ListFoundationModels", "bedrock:GetCustomModel", "bedrock:ListCustomModels", "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream", "bedrock:ListTagsForResource", "bedrock:UntagResource", "bedrock:TagResource", "bedrock:CreateProvisionedModelThroughput", "bedrock:GetProvisionedModelThroughput", "bedrock:ListProvisionedModelThroughputs", "bedrock:UpdateProvisionedModelThroughput", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": "*" } ] } ``` ------ **Note** Si vous utilisez le débit provisionné avec inférence entre régions, vous aurez peut-être besoin d'autorisations supplémentaires. Pour en savoir plus, consultez [Augmentez le débit grâce à l’inférence entre régions](cross-region-inference.md). (Facultatif) Vous pouvez restreindre l’accès du rôle des manières suivantes : + Pour restreindre les actions d’API que le rôle peut effectuer, modifiez la liste du champ `Action` pour qu’il ne contienne que les [opérations d’API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) auxquelles vous souhaitez autoriser l’accès. + Après avoir créé un modèle provisionné, vous pouvez limiter la capacité du rôle à exécuter une demande d'API avec le modèle provisionné en modifiant la `Resource` liste pour ne contenir que les [modèles provisionnés auxquels](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) vous souhaitez autoriser l'accès. Pour obtenir un exemple, consultez [Autoriser les utilisateurs à invoquer un modèle provisionné](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-perform-actions-pt). + Pour limiter la capacité d'un rôle à créer des modèles provisionnés à partir de modèles personnalisés ou de fondations spécifiques, modifiez la `Resource` liste pour qu'elle contienne uniquement les [modèles de base et personnalisés](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) auxquels vous souhaitez autoriser l'accès. 1. Suivez les étapes décrites dans la [section Ajouter et supprimer des autorisations d'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) pour associer la politique à un rôle afin d'accorder les autorisations de rôle. 1. Si vous achetez Provisioned Throughput pour un modèle personnalisé chiffré à l'aide d'une AWS KMS clé gérée par le client, votre rôle IAM doit disposer des autorisations nécessaires pour déchiffrer la clé. Vous pouvez utiliser le modèle à l'adresse[Comment créer une clé gérée par le client et comment y associer une stratégie de clé](encryption-custom-job.md#encryption-key-policy). Pour des autorisations minimales, vous ne pouvez utiliser que la déclaration *Permissions for custom model users* de politique.