Pré-requisitos para perfis de inferência - Amazon Bedrock

Pré-requisitos para perfis de inferência

Antes de usar um perfil de inferência, verifique se você atendeu aos seguintes pré-requisitos:

  • Seu perfil tem acesso às ações de API do perfil de inferência. Se o perfil tiver a política AmazonBedrockFullAccess gerenciada pela AWS anexada, você poderá ignorar esta etapa. Caso contrário, faça o seguinte:

    1. Siga as etapas em Criar políticas do IAM e crie a política a seguir, que permite que um perfil execute ações relacionadas ao perfil de inferência e execute inferência do modelo usando todos os modelos de base e perfis de inferência.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*",
                "bedrock:CreateInferenceProfile"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/*",
                "arn:aws:bedrock:*:*:inference-profile/*",
                "arn:aws:bedrock:*:*:application-inference-profile/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:GetInferenceProfile",
                "bedrock:ListInferenceProfiles",
                "bedrock:DeleteInferenceProfile",
                "bedrock:TagResource",
                "bedrock:UntagResource",
                "bedrock:ListTagsForResource"
            ],
            "Resource": [
                "arn:aws:bedrock:*:*:inference-profile/*",
                "arn:aws:bedrock:*:*:application-inference-profile/*"
            ]
        }
    ]
}

      (Opcional) É possível restringir o acesso do perfil das seguintes maneiras:

      • Para restringir as ações de API que o perfil pode executar, modifique a lista no campo Action para que contenha somente as operações de API às quais deseja permitir acesso.

      • Para restringir o acesso do perfil a perfis de inferência específicos, modifique a lista de Resource para que contenha somente os perfis de inferência e os modelos de base aos quais deseja permitir acesso. Os perfis de inferência definidos pelo sistema começam com inference-profile e os perfis de inferência de aplicação começam com application-inference-profile.

        Importante

        Ao especificar um perfil de inferência no campo Resource na primeira declaração, você deve especificar também o modelo de base em cada região associada a ele.

      • Para restringir o acesso do usuário de forma que ele possa invocar um modelo de base somente por meio de um perfil de inferência, adicione um campo Condition e use a chave de condição aws:InferenceProfileArn. Especifique o perfil de inferência no qual deseja filtrar o acesso. Essa condição pode ser incluída em uma declaração que abranja os recursos do foundation-model.

      • Por exemplo, é possível anexar a política a seguir a um perfil para permitir que ele invoque o modelo Claude 3 Haiku da Anthropic somente por meio do perfil de inferência Claude 3 Haiku da Anthropic dos EUA na conta 111122223333 na us-west-2:

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
                "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0"
            ],
            "Condition": {
                "StringLike": {
                    "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0"
                }
            }
        }
    ]
}

      • Por exemplo, é possível anexar a política a seguir a um perfil para permitir que ele invoque o modelo Claude Sonnet 4 da Anthropic somente por meio do perfil de inferência Claude Sonnet 4 global na conta 111122223333 na us-east-2 [Leste dos EUA (Ohio)].

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel*"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-2::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0",
                "arn:aws:bedrock:::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0"
            ],
            "Condition": {
                "StringLike": {
                    "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0"
                }
            }
        }
    ]
}

      • Também é possível restringir o uso do perfil de inferência global do Claude Sonnet 4 adicionando um Deny explícito com uma condição StringEquals que verifica se a chave de contexto aws:RequestedRegion da solicitação indica não especificada. Por corresponder a StringEquals, Deny substitui qualquer permissão e bloqueia o roteamento global de solicitações de inferência.

        {
    "Effect": "Deny",
    "Action": [
        "bedrock:InvokeModel*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:RequestedRegion": "unspecified"
        }
    }
},

    2. Siga as etapas em Adicionar e remover permissões de identidade do IAM para anexar a política a um perfil e conceder ao perfil permissões para visualizar e usar todos os perfis de inferência.

  • Você solicitou acesso ao modelo definido no perfil de inferência que deseja usar, na região da qual deseja chamar o perfil de inferência.