Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Permisos obligatorios para la inferencia por lotes
Para realizar la inferencia en lotes, debe configurar los permisos para las siguientes identidades de IAM:
**aviso**
Los recursos del modelo básico utilizados en la inferencia por lotes son propiedad del servicio Amazon Bedrock, no de usted. Cuenta de AWS Si sus políticas de IAM incluyen condiciones de recursos basadas en la organización (por ejemplo`aws:ResourceOrgID`), las solicitudes de inferencia por lotes de modelos básicos no serán válidas. `AccessDeniedException` Elimine las condiciones de los recursos de la organización de las políticas que se aplican a los recursos del modelo básico de Amazon Bedrock.
+ La identidad de IAM que creará y administrará los trabajos de inferencia en lotes.
+ El [rol de servicio](security-iam-sr.md) de inferencia en lotes que adopta Amazon Bedrock para realizar acciones en su nombre.
Para obtener información sobre cómo configurar los permisos para cada identidad, consulte los siguientes temas:
**Topics**
+ [Permisos necesarios para que una identidad de IAM envíe y administre trabajos de inferencia en lotes](#batch-inference-permissions-user)
+ [Permisos necesarios para que un rol de servicio realice la inferencia en lotes](#batch-inference-permissions-service)
## Permisos necesarios para que una identidad de IAM envíe y administre trabajos de inferencia en lotes
Para que una identidad de IAM utilice esta característica, debe configurarla con los permisos necesarios. Para ello, siga uno de estos pasos:
+ Para permitir que una identidad lleve a cabo todas las acciones de Amazon Bedrock, adjunte la [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)política a la identidad. Si hace esto, puede omitir este tema. Esta opción es menos segura.
+ Como práctica recomendada de seguridad, debe conceder a una identidad únicamente las acciones necesarias. En este tema se describen los permisos que necesita para esta característica.
Para restringir los permisos solo a las acciones que se utilizan para la inferencia en lotes, asocie la siguiente política basada en identidades a una identidad de IAM:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BatchInference",
"Effect": "Allow",
"Action": [
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModel",
"bedrock:ListInferenceProfiles",
"bedrock:GetInferenceProfile",
"bedrock:ListCustomModels",
"bedrock:GetCustomModel",
"bedrock:TagResource",
"bedrock:UntagResource",
"bedrock:ListTagsForResource",
"bedrock:CreateModelInvocationJob",
"bedrock:GetModelInvocationJob",
"bedrock:ListModelInvocationJobs",
"bedrock:StopModelInvocationJob"
],
"Resource": "*"
}
]
}
```
------
Para restringir aún más los permisos, puede omitir acciones o puede especificar recursos y claves de condición para filtrar los permisos. Para obtener más información sobre las acciones, los recursos y las claves de condición, consulte los siguientes temas en la *Referencia de autorizaciones de servicio*:
+ [Acciones definidas por Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions): obtenga información sobre las acciones, los tipos de recursos a los que puede aplicarlas en el campo `Resource` y las claves de condición que puede usar para filtrar los permisos en el campo `Condition`.
+ [Tipos de recursos definidos por Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies): obtenga información sobre los tipos de recursos de Amazon Bedrock.
+ [Claves de condición de Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys): obtenga información sobre las claves de condición de Amazon Bedrock.
El siguiente es un ejemplo que reduce el alcance de los permisos para la inferencia en lotes para permitir que solo un usuario con el ID de cuenta `123456789012` pueda crear trabajos de inferencia en lotes en la región `us-west-2` con el modelo Anthropic Claude 3 Haiku:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateBatchInferenceJob",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelInvocationJob"
],
"Resource": [
"arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
"arn:aws:bedrock:us-west-2:123456789012:model-invocation-job/*"
]
}
]
}
```
------
## Permisos necesarios para que un rol de servicio realice la inferencia en lotes
La inferencia en lotes la realiza un [rol de servicio](security-iam-sr.md) que adopta su identidad para realizar acciones en su nombre. Puede crear un rol de servicio de las siguientes formas:
+ Deje que Amazon Bedrock cree automáticamente un rol de servicio con los permisos necesarios para usted mediante la Consola de administración de AWS. Puede seleccionar esta opción al crear un trabajo de inferencia en lotes.
+ Cree un rol de servicio personalizado para Amazon Bedrock utilizando AWS Identity and Access Management y adjunte los permisos necesarios. Cuando envíe el trabajo de inferencia en lotes, especifique este rol. Para obtener más información acerca de cómo crear un rol de servicio personalizado para la inferencia en lotes, consulte [Creación de un rol de servicio personalizado para la inferencia en lotes](batch-iam-sr.md). Para obtener información más general acerca de la creación de roles de servicio, consulte [Creación de un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la Guía del usuario de IAM.
**importante**
Si el depósito de S3 en el que [cargó los datos para la inferencia de lotes](batch-inference-data.md) se encuentra en otro Cuenta de AWS, debe configurar una política de depósito de S3 para permitir que el rol de servicio acceda a los datos. Debe configurar esta política de forma manual, aunque utilice la consola para crear un rol de servicio de forma automática. Para obtener información sobre cómo configurar una política de bucket de S3 para los recursos de Amazon Bedrock, consulte [Asociación de una política de bucket a un bucket de Amazon S3 para permitir el acceso de otra cuenta](s3-bucket-access.md#s3-bucket-access-cross-account).
Los modelos básicos de Amazon Bedrock son recursos AWS gestionados que no se pueden utilizar con condiciones de política de IAM que exijan la propiedad del cliente. Estos modelos son propiedad de clientes individuales y están operados por ellos AWS, y no pueden ser propiedad de ellos. Cualquier condición de la política de IAM que compruebe si los recursos son propiedad del cliente (como las condiciones que utilizan etiquetas de recursos, el identificador de la organización u otros atributos de propiedad) no se cumplirá si se aplica a los modelos básicos, lo que podría bloquear el acceso legítimo a estos servicios.
Por ejemplo, si tu política incluye una `aws:ResourceOrgID` condición como la siguiente:
```
{
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceOrgID": ["o-xxxxxxxx"]
}
}
}
```
Su trabajo de inferencia por lotes fallará con`AccessDeniedException`. Elimine la `aws:ResourceOrgID` condición o cree declaraciones de políticas independientes para los modelos básicos.