批次推論的必要許可 - Amazon Bedrock
IAM 身分提交和管理批次推論任務所需的許可服務角色執行批次推論所需的許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

批次推論的必要許可

若要執行批次推論,您必須設定下列 IAM 身分的許可:

  • 將建立和管理批次推論任務的 IAM 身分。

  • Amazon Bedrock 擔任代表您執行動作的批次推論服務角色

若要了解如何設定每個身分的許可,請導覽至下列主題:

IAM 身分提交和管理批次推論任務所需的許可

若要讓 IAM 身分使用此功能,您必須以必要的許可進行設定。若要這麼做,請執行下列其中一項:

  • 若要允許身分執行所有 Amazon Bedrock 動作,請將 AmazonBedrockFullAccess 政策連接至身分。如果您這樣做,您可以略過此主題。此選項較不安全。

  • 作為安全最佳實務,您應該只將必要的動作授予身分。本主題介紹使用此功能所需的許可。

若要將許可限制為僅用於批次推論的動作,請將下列身分型政策連接至 IAM 身分:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "BatchInference",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:ListInferenceProfiles",
                "bedrock:GetInferenceProfile",
                "bedrock:ListCustomModels",
                "bedrock:GetCustomModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource",
                "bedrock:CreateModelInvocationJob",
                "bedrock:GetModelInvocationJob",
                "bedrock:ListModelInvocationJobs",
                "bedrock:StopModelInvocationJob"
            ],
            "Resource": "*"
        }
    ]   
}

若要進一步限制許可,您可以忽略動作,也可以指定要篩選許可的資源和條件索引鍵。如需動作、資源和條件索引鍵的詳細資訊,請參閱服務授權參考中的下列主題:

下列政策範例縮小了批次推論的許可範圍,只允許帳戶 ID 為 123456789012 的使用者使用 Anthropic Claude 3 Haiku 模型在 us-west-2 區域中建立批次推論任務:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateBatchInferenceJob",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateModelInvocationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
                "arn:aws:bedrock:us-west-2:123456789012:model-invocation-job/*"
            ]
        }
    ]
}

服務角色執行批次推論所需的許可

批次推論是由擔任您身分的服務角色執行,以代表您執行動作。您可以透過以下方式建立服務角色:

  • 使用AWS 管理主控台讓 Amazon Bedrock 自動為您建立具有必要許可的服務角色。您可以在建立批次推論任務時選取此選項。

  • 使用 並AWS Identity and Access Management連接必要的許可,為 Amazon Bedrock 建立自訂服務角色。當您提交批次推論任務時,請指定此角色。如需為批次推論建立自訂服務角色的詳細資訊,請參閱建立批次推論的自訂服務角色。如需建立服務角色的一般資訊,請參閱《IAM 使用者指南》中的建立角色以將許可委派給 AWS 服務

重要

  • 如果您上傳資料以進行批次推論的 S3 儲存貯體不同AWS 帳戶,您必須設定 S3 儲存貯體政策,以允許服務角色存取資料。即使您使用主控台自動建立服務角色,仍必須手動設定此政策。若要了解如何設定 Amazon Bedrock 資源的 S3 儲存貯體政策,請參閱 將儲存貯體政策連接至 Amazon S3 儲存貯體以供另一個帳戶存取

  • Amazon Bedrock 中的基礎模型是AWS受管資源,無法用於需要客戶擁有權的 IAM 政策條件。這些模型由 擁有和操作AWS,無法由個別客戶擁有。套用到基礎模型時,檢查客戶擁有的資源 (例如使用資源標籤、組織 ID 或其他所有權屬性的條件) 的任何 IAM 政策條件都將失敗,可能封鎖對這些服務的合法存取。

    例如,如果您的政策包含以下aws:ResourceOrgID條件:

    {
  "Condition": {
    "StringEqualsIgnoreCase": {
      "aws:ResourceOrgID": ["o-xxxxxxxx"]
    }
  }
}

    您的批次推論任務會因 而失敗AccessDeniedException。移除aws:ResourceOrgID條件或為基礎模型建立個別的政策陳述式。