Prerequisiti per i profili di inferenza - Amazon Bedrock

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti per i profili di inferenza

Prima di utilizzare un profilo di inferenza, verifica di soddisfare i seguenti prerequisiti:

  • Il tuo ruolo ha accesso alle azioni dell’API del profilo di inferenza. Se al tuo ruolo è AmazonBedrockFullAccessAWSallegata la policy gestita, puoi saltare questo passaggio. In caso contrario, eseguire le seguenti operazioni:

    1. Segui i passaggi descritti in Creazione di policy IAM e crea la policy seguente, che consente a un ruolo di eseguire azioni relative al profilo di inferenza e di eseguire l’inferenza del modello utilizzando tutti i modelli di fondazione e tutti i profili di inferenza.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*",
                "bedrock:CreateInferenceProfile"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/*",
                "arn:aws:bedrock:*:*:inference-profile/*",
                "arn:aws:bedrock:*:*:application-inference-profile/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:GetInferenceProfile",
                "bedrock:ListInferenceProfiles",
                "bedrock:DeleteInferenceProfile",
                "bedrock:TagResource",
                "bedrock:UntagResource",
                "bedrock:ListTagsForResource"
            ],
            "Resource": [
                "arn:aws:bedrock:*:*:inference-profile/*",
                "arn:aws:bedrock:*:*:application-inference-profile/*"
            ]
        }
    ]
}

      (Facoltativo) Puoi limitare l’accesso del ruolo nei modi seguenti:

      • Per limitare le azioni API che il ruolo può eseguire, modifica l’elenco nel campo Action in modo che contenga solo le operazioni API a cui desideri consentire l’accesso.

      • Per limitare l’accesso del ruolo a profili di inferenza specifici, modifica l’elenco Resource in modo che contenga solo i profili di inferenza e modelli di fondazione a cui desideri consentire l’accesso. I profili di inferenza definiti dal sistema iniziano con inference-profile, mentre quelli di inferenza delle applicazioni iniziano con application-inference-profile.

        Importante

        Quando si specifica un profilo di inferenza nel campo Resource della prima istruzione, è necessario specificare anche il modello di fondazione in ogni Regione associata.

      • Per limitare l’accesso degli utenti in modo che possano invocare un modello di fondazione solo tramite un profilo di inferenza, aggiungi un campo Condition e usa la chiave di condizione aws:InferenceProfileArn. Specifica il profilo di inferenza in base al quale filtrare l’accesso. Questa condizione può essere inclusa in un’istruzione che si riferisce alle risorse foundation-model.

      • Ad esempio, puoi allegare la seguente politica a un ruolo per consentirgli di richiamare il Anthropic Claude 3 Haiku modello solo tramite il profilo di Anthropic Claude 3 Haiku inferenza statunitense nell'account in 111122223333 us-west-2:

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
                "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0"
            ],
            "Condition": {
                "StringLike": {
                    "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0"
                }
            }
        }
    ]
}

      • Ad esempio, è possibile collegare la policy seguente a un ruolo per consentirgli di invocare il modello Anthropic Claude Sonnet 4 solo tramite il profilo di inferenza Claude Sonnet 4 globale nell’account 111122223333 in us-east-2, Stati Uniti orientali (Ohio).

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0",
                "arn:aws:bedrock:::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0"
            ],
            "Condition": {
                "StringLike": {
                    "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0"
                }
            }
        }
    ]
}

      • È inoltre possibile limitare l’uso del profilo di inferenza Claude Sonnet 4 globale aggiungendo un’opzione Deny esplicita con una condizione StringEquals che verifichi che il valore della chiave di contesto della richiesta aws:RequestedRegion sia “unspecified”. Poiché il valore corrispondeStringEquals, l’opzione sovrascrive qualsiasi opzione Allow e blocca il routing globale delle richieste di inferenza.

        {
    "Effect": "Deny",
    "Action": [
        "bedrock:InvokeModel*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:RequestedRegion": "unspecified"
        }
    }
},

    2. Segui i passaggi indicati in Aggiunta e rimozione delle autorizzazioni di identità IAM per collegare la policy a un ruolo e concedere al ruolo le autorizzazioni per visualizzare e utilizzare tutti i profili di inferenza.

  • Hai richiesto l’accesso al modello definito nel profilo di inferenza che desideri utilizzare nella Regione da cui desideri chiamare il profilo di inferenza stesso.