Permissões obrigatórias para a inferência em lote - Amazon Bedrock
Permissões necessária para uma identidade do IAM enviar e gerenciar trabalhos de inferência em lotePermissões necessárias para um perfil de serviço realizar inferência em lote

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões obrigatórias para a inferência em lote

Para realizar a inferência em lote, configure permissões para as seguintes identidades do IAM:

  • A identidade do IAM que criará e gerenciará trabalhos de inferência em lote.

  • O perfil de serviço de inferência em lote que o Amazon Bedrock assume para realizar ações em seu nome.

Para saber como configurar permissões para cada identidade, navegue pelos seguintes tópicos:

Permissões necessária para uma identidade do IAM enviar e gerenciar trabalhos de inferência em lote

Para que uma identidade do IAM use esse recurso, configure-a com as permissões necessárias. Para fazer isso, execute um dos seguintes procedimentos:

  • Para permitir que uma identidade realize todas as ações do Amazon Bedrock, anexe a AmazonBedrockFullAccesspolítica à identidade. Se fizer isso, você poderá ignorar este tópico. Essa opção é menos segura.

  • Como prática recomendada de segurança, você deve conceder somente as ações necessárias a uma identidade. Este tópico descreve as permissões necessárias para esse recurso.

Para restringir as permissões somente às ações usadas para inferência em lote, anexe a seguinte política baseada em identidade a uma identidade do IAM:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "BatchInference",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:ListInferenceProfiles",
                "bedrock:GetInferenceProfile",
                "bedrock:ListCustomModels",
                "bedrock:GetCustomModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource",
                "bedrock:CreateModelInvocationJob",
                "bedrock:GetModelInvocationJob",
                "bedrock:ListModelInvocationJobs",
                "bedrock:StopModelInvocationJob"
            ],
            "Resource": "*"
        }
    ]   
}

Para restringir ainda mais as permissões, você pode omitir ações ou especificar chaves de recurso e de condição que devem ser usadas para filtrar permissões. Para ter mais informações sobre ações, recursos e chaves de condição, consulte os tópicos a seguir na Referência de autorização do serviço.

A seguinte política é um exemplo que reduz o escopo das permissões para inferência em lote para possibilitar que somente o usuário com o ID de conta 123456789012 crie trabalhos de inferência em lote na região us-west-2 usando o modelo Claude 3 Haiku da Anthropic:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateBatchInferenceJob",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateModelInvocationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
                "arn:aws:bedrock:us-west-2:123456789012:model-invocation-job/*"
            ]
        }
    ]
}

Permissões necessárias para um perfil de serviço realizar inferência em lote

A inferência em lote é realizada por um perfil de serviço que assume sua identidade para realizar ações em seu nome. Você pode criar um perfil de serviço das seguintes maneiras:

  • Permita que o Amazon Bedrock crie automaticamente um perfil de serviço com as permissões necessárias para você usando o Console de gerenciamento da AWS. É possível selecionar essa opção ao criar um trabalho de inferência em lote.

  • Crie uma função de serviço personalizada para o Amazon Bedrock usando AWS Identity and Access Management e anexando as permissões necessárias. Ao enviar o trabalho de inferência em lote, especifique esse perfil. Para ter mais informações sobre como criar um perfil de serviço para inferência em lote, consulte Criar um perfil de serviço personalizado de inferência em lote. Para ter mais informações sobre como criar perfis de serviço, consulte Criar um perfil para delegar permissões a um serviço da AWS service (Serviço da AWS) no “Guia do usuário do IAM”.

Importante

  • Se o bucket do S3 no qual você carregou seus dados para inferência em lote estiver em um diferenteConta da AWS, você deverá configurar uma política de bucket do S3 para permitir que a função de serviço acesse os dados. É necessário configurar essa política, mesmo que use o console para criar um perfil de serviço. Para saber como configurar uma política de bucket do S3 para recursos do Amazon Bedrock, consulte Anexar uma política de bucket a um bucket do Amazon S3 para permitir acesso de outra conta.

  • Os modelos básicos no Amazon Bedrock são recursos AWS gerenciados que não podem ser usados com condições de política do IAM que exigem a propriedade do cliente. Esses modelos são de propriedade e operados porAWS, e não podem ser de propriedade de clientes individuais. Qualquer condição de política do IAM que verifique os recursos de propriedade do cliente (como condições usando tags de recursos, ID da organização ou outros atributos de propriedade) falhará quando aplicada aos modelos básicos, potencialmente bloqueando o acesso legítimo a esses serviços.

    Por exemplo, se sua apólice incluir uma aws:ResourceOrgID condição como esta:

    {
  "Condition": {
    "StringEqualsIgnoreCase": {
      "aws:ResourceOrgID": ["o-xxxxxxxx"]
    }
  }
}

    Seu trabalho de inferência em lote falhará comAccessDeniedException. Remova a aws:ResourceOrgID condição ou crie declarações de política separadas para os modelos da fundação.