Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Autorisations requises pour l’inférence par lots
Pour effectuer une inférence par lots, vous devez configurer des autorisations pour les identités IAM suivantes :
**Avertissement**
Les ressources du modèle de base utilisées dans l'inférence par lots appartiennent au service Amazon Bedrock, et non à votre. Compte AWS Si vos politiques IAM incluent des conditions relatives aux ressources basées sur l'organisation (telles que`aws:ResourceOrgID`), les demandes d'inférence par lots adressées aux modèles de base échoueront. `AccessDeniedException` Supprimez les conditions relatives aux ressources de l'organisation des politiques qui s'appliquent aux ressources du modèle Amazon Bedrock Foundation.
+ L’identité IAM qui créera et gérera les tâches d’inférence par lots.
+ Le [rôle de service](security-iam-sr.md) d’inférence par lots qu’Amazon Bedrock endosse pour effectuer des actions en votre nom.
Pour découvrir comment configurer des autorisations pour chaque identité, consultez les rubriques suivantes :
**Topics**
+ [Autorisations requises pour qu’une identité IAM puisse soumettre et gérer des tâches d’inférence par lots](#batch-inference-permissions-user)
+ [Autorisations requises pour qu’un rôle de service puisse effectuer une inférence par lots](#batch-inference-permissions-service)
## Autorisations requises pour qu’une identité IAM puisse soumettre et gérer des tâches d’inférence par lots
Pour qu’une identité IAM puisse utiliser cette fonctionnalité, vous devez la configurer avec les autorisations nécessaires. Pour ce faire, effectuez l’une des opérations suivantes :
+ Pour permettre à une identité d'effectuer toutes les actions d'Amazon Bedrock, associez la [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)politique à l'identité. Dans ce cas, vous pouvez ignorer cette rubrique. Cette option est moins sécurisée.
+ La bonne pratique en matière de sécurité consiste à accorder uniquement les actions nécessaires à une identité. Cette rubrique décrit les autorisations dont vous avez besoin pour cette fonctionnalité.
Pour restreindre les autorisations aux actions utilisées pour l’inférence par lots, associez la politique basée sur l’identité suivante à un rôle IAM :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BatchInference",
"Effect": "Allow",
"Action": [
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModel",
"bedrock:ListInferenceProfiles",
"bedrock:GetInferenceProfile",
"bedrock:ListCustomModels",
"bedrock:GetCustomModel",
"bedrock:TagResource",
"bedrock:UntagResource",
"bedrock:ListTagsForResource",
"bedrock:CreateModelInvocationJob",
"bedrock:GetModelInvocationJob",
"bedrock:ListModelInvocationJobs",
"bedrock:StopModelInvocationJob"
],
"Resource": "*"
}
]
}
```
------
Pour restreindre davantage les autorisations, vous pouvez omettre des actions ou spécifier des ressources et des clés de condition permettant de filtrer les autorisations. Pour plus d’informations sur les actions, les ressources et les clés de condition, consultez les rubriques suivantes dans la *Référence des autorisations de service* :
+ [Actions définies par Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) : découvrez les actions, les types de ressources auxquels vous pouvez les appliquer dans le champ `Resource` et les clés de condition qui vous permettent de filtrer les autorisations dans le champ `Condition`.
+ [Types de ressources définis par Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) : découvrez les types de ressources dans Amazon Bedrock.
+ [Clés de condition pour Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) : découvrez les clés de condition dans Amazon Bedrock.
La politique suivante est un exemple qui limite les autorisations pour l’inférence par lots afin de permettre uniquement à un utilisateur possédant l’ID de compte `123456789012` de créer des tâches d’inférence par lots dans la région `us-west-2` en utilisant le modèle Anthropic Claude 3 Haiku :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateBatchInferenceJob",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelInvocationJob"
],
"Resource": [
"arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
"arn:aws:bedrock:us-west-2:123456789012:model-invocation-job/*"
]
}
]
}
```
------
## Autorisations requises pour qu’un rôle de service puisse effectuer une inférence par lots
L’inférence par lots est effectuée par un [rôle de service](security-iam-sr.md) qui endosse votre identité pour effectuer des actions en votre nom. Vous créez un rôle de service des manières suivantes :
+ Laissez Amazon Bedrock créer automatiquement un rôle de service avec les autorisations nécessaires pour vous en utilisant la AWS Management Console. Vous pouvez sélectionner cette option lorsque vous créez une tâche d’inférence par lots.
+ Créez un rôle de service personnalisé pour Amazon Bedrock en utilisant Gestion des identités et des accès AWS et en attachant les autorisations nécessaires. Lorsque vous soumettez la tâche d’inférence par lots, vous spécifiez ensuite ce rôle. Pour plus d’informations sur la création d’un rôle de service personnalisé pour l’inférence par lots, consultez [Création d’un rôle de service pour l’inférence par lots](batch-iam-sr.md). Pour plus d’informations sur la création de rôles de service, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le Guide de l’utilisateur IAM.
**Important**
Si le compartiment S3 dans lequel vous avez [chargé vos données pour l'inférence par lots](batch-inference-data.md) se trouve dans un autre compartiment Compte AWS, vous devez configurer une politique de compartiment S3 pour autoriser le rôle de service à accéder aux données. Vous devez configurer manuellement cette politique même si vous utilisez la console pour créer automatiquement un rôle de service. Pour savoir comment configurer une stratégie de compartiment S3 pour les ressources Amazon Bedrock, consultez [Association d’une stratégie de compartiment à un compartiment Amazon S3 pour autoriser l’accès d’un autre compte](s3-bucket-access.md#s3-bucket-access-cross-account).
Les modèles de base d'Amazon Bedrock sont des ressources AWS gérées qui ne peuvent pas être utilisées dans le cadre des conditions de politique IAM exigeant la propriété du client. Ces modèles sont détenus et exploités par AWS des clients individuels et ne peuvent pas être détenus par des clients individuels. Toute condition de politique IAM qui vérifie les ressources appartenant au client (telles que les conditions utilisant des balises de ressource, un identifiant d'organisation ou d'autres attributs de propriété) échouera lorsqu'elle est appliquée aux modèles de base, bloquant potentiellement l'accès légitime à ces services.
Par exemple, si votre police inclut une `aws:ResourceOrgID` condition comme celle-ci :
```
{
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceOrgID": ["o-xxxxxxxx"]
}
}
}
```
Votre tâche d'inférence par lots échouera avec`AccessDeniedException`. Supprimez la `aws:ResourceOrgID` condition ou créez des déclarations de politique distinctes pour les modèles de base.