推論プロファイルの前提条件 - Amazon Bedrock

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

推論プロファイルの前提条件

クロスリージョン推論を使用する前に、次の前提条件を満たしていることを確認してください。

  • 使用するロールに、クロスリージョン推論 API アクションへのアクセス権限があること。ロールに AmazonBedrockFullAccessAWS 管理ポリシーがアタッチされている場合は、このステップをスキップできます。それ以外の場合は以下の作業を行います。

    1. IAM ポリシーを作成する」の手順に従って、次のポリシーを作成します。このポリシーにより、ロールは推論プロファイル関連のアクションを実行でき、すべての基盤モデルと推論プロファイルを使用してモデル推論を実行できます。

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*",
                "bedrock:CreateInferenceProfile"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/*",
                "arn:aws:bedrock:*:*:inference-profile/*",
                "arn:aws:bedrock:*:*:application-inference-profile/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:GetInferenceProfile",
                "bedrock:ListInferenceProfiles",
                "bedrock:DeleteInferenceProfile",
                "bedrock:TagResource",
                "bedrock:UntagResource",
                "bedrock:ListTagsForResource"
            ],
            "Resource": [
                "arn:aws:bedrock:*:*:inference-profile/*",
                "arn:aws:bedrock:*:*:application-inference-profile/*"
            ]
        }
    ]
}

      (オプション) ロールのアクセスは、次の方法で制限できます。

      • ロールが実行できる API アクションを制限するには、Action フィールドのリストを変更して、アクセスを許可する API オペレーションのみを含めます。

      • 特定の推論プロファイルへのロールのアクセスを制限するには、アクセスを許可する推論プロファイルと基盤モデルのみを含むように Resource リストを変更します。システム定義の推論プロファイルは inference-profile で始まり、アプリケーション推論プロファイルは application-inference-profile で始まります。

        重要

        Resource フィールドで推論プロファイルを指定する場合は、プロファイルに関連付けられた、各リージョンでの基盤モデルも指定する必要があります。

      • 推論プロファイルを介してのみ基盤モデルを呼び出すことができるようにユーザーアクセスを制限するには、Condition フィールドを追加し、aws:InferenceProfileArn 条件キー を使用します。アクセスをフィルタリングする推論プロファイルを指定します。この条件は、foundation-model リソースを対象とするステートメントに含めることができます。

      • 例えば、次のポリシーをロールにアタッチすると、us-west-2 のアカウント 111122223333 の米国の Anthropic Claude 3 Haiku 推論プロファイルを介してのみ Anthropic Claude 3 Haiku モデルの呼び出しを許可できます。

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
                "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0"
            ],
            "Condition": {
                "StringLike": {
                    "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0"
                }
            }
        }
    ]
}

      • 例えば、次のポリシーをロールにアタッチすると、us-east-2 (米国東部 [オハイオ]) のアカウント 111122223333 のグローバル Claude Sonnet 4 推論プロファイルを介してのみ Anthropic Claude Sonnet 4 モデルの呼び出しを許可できます。

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0",
                "arn:aws:bedrock:::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0"
            ],
            "Condition": {
                "StringLike": {
                    "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0"
                }
            }
        }
    ]
}

      • リクエストコンテキストキー aws:RequestedRegion が未指定であることを確認する StringEquals 条件で明示的な拒否を追加することで、グローバル Claude Sonnet 4 推論プロファイルの使用を制限することもできます。これは StringEquals と一致するため、拒否が許可を上書きして、推論リクエストのグローバルルーティングをブロックします。

        {
    "Effect": "Deny",
    "Action": [
        "bedrock:InvokeModel*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:RequestedRegion": "unspecified"
        }
    }
},

    2. IAM ID のアクセス許可の追加および削除」の手順に従って、ポリシーをロールにアタッチし、すべての推論プロファイルを表示および使用するアクセス許可をロールに付与します。

  • これで、推論プロファイルを呼び出すリージョンにおいて、使用する推論プロファイルで定義されたモデルへのアクセスをリクエストできました。