Autorizzazioni richieste per l’inferenza in batch - Amazon Bedrock
Autorizzazioni necessarie a un’identità IAM per inviare e gestire processi di inferenza in batchAutorizzazioni necessarie a un ruolo di servizio per eseguire l’inferenza in batch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni richieste per l’inferenza in batch

Per eseguire l’inferenza in batch, è necessario configurare le autorizzazioni per le seguenti identità IAM:

  • L’identità IAM che creerà e gestirà i lavori di inferenza in batch.

  • Il ruolo del servizio per l’inferenza in batch assunto da Amazon Bedrock per eseguire azioni per tuo conto.

Per informazioni su come configurare le autorizzazioni per ogni identità, consulta i seguenti argomenti:

Autorizzazioni necessarie a un’identità IAM per inviare e gestire processi di inferenza in batch

Per consentire a un’identità IAM di utilizzare questa funzionalità, è necessario configurarla con le autorizzazioni necessarie. Per farlo, procedi in uno dei seguenti modi:

  • Per consentire a un'identità di eseguire tutte le azioni di Amazon Bedrock, allega la AmazonBedrockFullAccesspolicy all'identità. Se la policy è già collegata, puoi ignorare questo argomento. Questa opzione è meno sicura.

  • Come best practice per la sicurezza, dovresti consentire a un’identità di eseguire solo le azioni necessarie. Questo argomento descrive le autorizzazioni richieste per questa funzionalità.

Per limitare le autorizzazioni alle sole operazioni utilizzate per l’inferenza in batch, collega a un’identità IAM la seguente policy basata sull’identità:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "BatchInference",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:ListInferenceProfiles",
                "bedrock:GetInferenceProfile",
                "bedrock:ListCustomModels",
                "bedrock:GetCustomModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource",
                "bedrock:CreateModelInvocationJob",
                "bedrock:GetModelInvocationJob",
                "bedrock:ListModelInvocationJobs",
                "bedrock:StopModelInvocationJob"
            ],
            "Resource": "*"
        }
    ]   
}

Per limitare ulteriormente le autorizzazioni, è possibile omettere azioni o specificare risorse e chiavi di condizione con cui filtrare le autorizzazioni. Per ulteriori informazioni su azioni, risorse e chiavi di condizione, consultare i seguenti argomenti nella documentazione di riferimento per l’autorizzazione al servizio:

La seguente policy è un esempio che riduce le autorizzazioni per l’inferenza in batch e consente solo a un utente con l’ID account 123456789012 di creare lavori di inferenza in batch nella Regione us-west-2 utilizzando il modello Anthropic Claude 3 Haiku:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateBatchInferenceJob",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateModelInvocationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
                "arn:aws:bedrock:us-west-2:123456789012:model-invocation-job/*"
            ]
        }
    ]
}

Autorizzazioni necessarie a un ruolo di servizio per eseguire l’inferenza in batch

L’inferenza in batch viene eseguita da un ruolo di servizio che assume la tua identità per eseguire azioni per tuo conto. Per creare un ruolo di servizio, puoi procedere nei seguenti modi:

  • Consenti ad Amazon Bedrock di creare automaticamente un ruolo di servizio con le autorizzazioni necessarie utilizzando la Console di gestione AWS. Puoi selezionare questa opzione quando crei un processo di inferenza in batch.

  • Crea un ruolo di servizio personalizzato per Amazon Bedrock utilizzando AWS Identity and Access Management e allegando le autorizzazioni necessarie. Quando invii il processo di inferenza in batch, specifichi questo ruolo. Per ulteriori informazioni sulla creazione di un ruolo di servizio personalizzato per l’inferenza in batch, consulta Creazione di un ruolo di servizio per l’inferenza in batch. Per ulteriori informazioni sulla creazione di ruoli di servizio, consulta Creazione di un ruolo per delegare le autorizzazioni a un Servizio AWS nella Guida per l’utente di IAM.

Importante

  • Se il bucket S3 in cui hai caricato i dati per l'inferenza in batch si trova in un altroAccount AWS, devi configurare una policy del bucket S3 per consentire al ruolo di servizio l'accesso ai dati. La policy deve essere configurata manualmente anche se utilizzi la console per creare un ruolo di servizio in modo automatico. Per informazioni su come configurare una policy di bucket S3 per le risorse Amazon Bedrock, consulta Collegare una policy di bucket a un bucket Amazon S3 per consentire a un altro account di accedervi.

  • I modelli Foundation in Amazon Bedrock sono risorse AWS gestite che non possono essere utilizzate con condizioni di policy IAM che richiedono la proprietà del cliente. Questi modelli sono di proprietà e gestiti daAWS, e non possono essere di proprietà di singoli clienti. Qualsiasi condizione delle policy IAM che verifichi la presenza di risorse di proprietà del cliente (ad esempio condizioni che utilizzano tag di risorsa, ID dell'organizzazione o altri attributi di proprietà) fallirà se applicata ai modelli di base, bloccando potenzialmente l'accesso legittimo a questi servizi.

    Ad esempio, se la tua policy include una aws:ResourceOrgID condizione come questa:

    {
  "Condition": {
    "StringEqualsIgnoreCase": {
      "aws:ResourceOrgID": ["o-xxxxxxxx"]
    }
  }
}

    Il processo di inferenza in batch fallirà conAccessDeniedException. Rimuovi la aws:ResourceOrgID condizione o crea dichiarazioni politiche separate per i modelli di base.