As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Pré-requisitos para perfis de inferência Antes de usar um perfil de inferência, verifique se você atendeu aos seguintes pré-requisitos: + Seu perfil tem acesso às ações de API do perfil de inferência. Se sua função tiver a política [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)AWSgerenciada anexada, você poderá pular esta etapa. Caso contrário, faça o seguinte: 1. Siga as etapas em [Criar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) e crie a política a seguir, que permite que um perfil execute ações relacionadas ao perfil de inferência e execute inferência do modelo usando todos os modelos de base e perfis de inferência. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*", "bedrock:CreateInferenceProfile" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*", "arn:aws:bedrock:*:*:inference-profile/*", "arn:aws:bedrock:*:*:application-inference-profile/*" ] }, { "Effect": "Allow", "Action": [ "bedrock:GetInferenceProfile", "bedrock:ListInferenceProfiles", "bedrock:DeleteInferenceProfile", "bedrock:TagResource", "bedrock:UntagResource", "bedrock:ListTagsForResource" ], "Resource": [ "arn:aws:bedrock:*:*:inference-profile/*", "arn:aws:bedrock:*:*:application-inference-profile/*" ] } ] } ``` ------ (Opcional) É possível restringir o acesso do perfil das seguintes maneiras: + Para restringir as ações de API que o perfil pode executar, modifique a lista no campo `Action` para que contenha somente as [operações de API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) às quais deseja permitir acesso. + Para restringir o acesso do perfil a perfis de inferência específicos, modifique a lista de `Resource` para que contenha somente os [perfis de inferência](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) e os modelos de base aos quais deseja permitir acesso. Os perfis de inferência definidos pelo sistema começam com `inference-profile` e os perfis de inferência de aplicação começam com `application-inference-profile`. **Importante** Ao especificar um perfil de inferência no campo `Resource` na primeira declaração, você deve especificar também o modelo de base em cada região associada a ele. + Para restringir o acesso do usuário de forma que ele possa invocar um modelo de base somente por meio de um perfil de inferência, adicione um campo `Condition` e use a [chave de condição](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) `aws:InferenceProfileArn`. Especifique o perfil de inferência no qual deseja filtrar o acesso. Essa condição pode ser incluída em uma declaração que abranja os recursos do `foundation-model`. + Por exemplo, você pode anexar a política a seguir a uma função para permitir que ela invoque o Anthropic Claude 3 Haiku modelo somente por meio do perfil de Anthropic Claude 3 Haiku inferência dos EUA na conta em {{111122223333}} us-west-2: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*" ], "Resource": [ "arn:aws:bedrock:us-west-2:{{111122223333}}:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0" ] }, { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*" ], "Resource": [ "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-3-haiku-20240307-v1:0", "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0" ], "Condition": { "StringLike": { "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-west-2:{{111122223333}}:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0" } } } ] } ``` ------ + Por exemplo, é possível anexar a política a seguir a um perfil para permitir que ele invoque o modelo Claude Sonnet 4 da Anthropic somente por meio do perfil de inferência Claude Sonnet 4 global na conta 111122223333 na us-east-2 [Leste dos EUA (Ohio)]. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*" ], "Resource": [ "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0" ] }, { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*" ], "Resource": [ "arn:aws:bedrock:us-east-2::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0", "arn:aws:bedrock:::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0" ], "Condition": { "StringLike": { "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0" } } } ] } ``` ------ + Também é possível restringir o uso do perfil de inferência global do Claude Sonnet 4 adicionando um Deny explícito com uma condição `StringEquals` que verifica se a chave de contexto `aws:RequestedRegion` da solicitação indica não especificada. Por corresponder a `StringEquals`, Deny substitui qualquer permissão e bloqueia o roteamento global de solicitações de inferência. ``` { "Effect": "Deny", "Action": [ "bedrock:InvokeModel*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": "unspecified" } } }, ``` 1. Siga as etapas em [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) para anexar a política a um perfil e conceder ao perfil permissões para visualizar e usar todos os perfis de inferência. + Você solicitou acesso ao modelo definido no perfil de inferência que deseja usar, na região da qual deseja chamar o perfil de inferência.