バッチ推論に必要なアクセス許可 - Amazon Bedrock
IAM アイデンティティがバッチ推論ジョブを送信および管理するために必要なアクセス許可サービスロールがバッチ推論を実行するために必要なアクセス許可

バッチ推論に必要なアクセス許可

バッチ推論を実行するには、次の IAM アイデンティティのアクセス許可を設定する必要があります。

  • バッチ推論ジョブを作成および管理する IAM アイデンティティ。

  • Amazon Bedrock がユーザーに代わってアクションを実行するために引き受けるバッチ推論サービスロール

各アイデンティティのアクセス許可を設定する方法については、以下のトピックを参照してください。

IAM アイデンティティがバッチ推論ジョブを送信および管理するために必要なアクセス許可

IAM アイデンティティがこの機能を使用するには、必要なアクセス許可でアイデンティティを設定する必要があります。これを行うには、次のいずれかを実行します。

  • アイデンティティがすべての Amazon Bedrock アクションを実行できるようにするには、AmazonBedrockFullAccess ポリシーをアイデンティティにアタッチします。これを行う場合は、このトピックをスキップできます。このオプションの方が安全性は低くなります。

  • セキュリティのベストプラクティスとして、必要なアクションのみをアイデンティティに付与する必要があります。このトピックでは、この機能に必要なアクセス許可について説明します。

バッチ推論に使用されるアクションにのみアクセス許可を制限するには、次のアイデンティティベースのポリシーを IAM アイデンティティにアタッチします。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "BatchInference",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:ListInferenceProfiles",
                "bedrock:GetInferenceProfile",
                "bedrock:ListCustomModels",
                "bedrock:GetCustomModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource",
                "bedrock:CreateModelInvocationJob",
                "bedrock:GetModelInvocationJob",
                "bedrock:ListModelInvocationJobs",
                "bedrock:StopModelInvocationJob"
            ],
            "Resource": "*"
        }
    ]   
}

アクセス許可をさらに制限するには、アクションを省略するか、アクセス許可をフィルタリングするためのリソースや条件キーを指定できます。アクション、リソース、条件キーの詳細については、「サービス認可リファレンス」の以下のトピックを参照してください。

次のポリシーは、バッチ推論のアクセス許可の範囲を絞り込み、Anthropic Claude 3 Haiku モデルを使用して、アカウント ID 123456789012 のユーザーが us-west-2 リージョンでバッチ推論ジョブを作成することだけを許可する例です。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateBatchInferenceJob",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateModelInvocationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
                "arn:aws:bedrock:us-west-2:123456789012:model-invocation-job/*"
            ]
        }
    ]
}

サービスロールがバッチ推論を実行するために必要なアクセス許可

バッチ推論は、ユーザーに代わってアクションを実行するためにユーザーのアイデンティティを引き受けるサービスロールによって実行されます。サービスロールは、以下の方法で作成できます。

  • Amazon Bedrock が AWS マネジメントコンソールを使用して、必要なアクセス許可を持つサービスロールを自動的に作成できるようにします。このオプションは、バッチ推論ジョブを作成するときに選択できます。

  • AWS Identity and Access Management を使用して Amazon Bedrock のカスタムサービスロールを作成し、必要なアクセス許可をアタッチします。バッチ推論ジョブを送信するときは、このロールを指定します。バッチ推論用のカスタムサービスロールの作成の詳細については、「バッチ推論向けのサービスロールを作成する」を参照してください。サービスロールの作成に関する一般的な情報については、「IAM ユーザーガイド」の「AWS のサービスにアクセス許可を委任するロールを作成する」を参照してください。

重要

バッチ推論用にデータをアップロードした S3 バケットが別の AWS アカウントにある場合は、サービスロールにデータへのアクセスを許可するように S3 バケットポリシーを設定する必要があります。コンソールを使用してサービスロールを自動的に作成する場合にも、このポリシーを手動で設定する必要があります。Amazon Bedrock リソースの S3 バケットポリシーを設定する方法については、「バケットポリシーを Amazon S3 バケットにアタッチして、別のアカウントにバケットポリシーへのアクセスを許可する」を参照してください。