翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# バッチ推論に必要なアクセス許可
<a name="batch-inference-permissions"></a>

バッチ推論を実行するには、次の IAM アイデンティティのアクセス許可を設定する必要があります。

**警告**  
バッチ推論で使用される基盤モデルリソースは、 ではなく Amazon Bedrock サービスによって所有されます AWS アカウント。IAM ポリシーにリソースに対する組織ベースの条件 ( など`aws:ResourceOrgID`) が含まれている場合、基盤モデルへのバッチ推論リクエストは で失敗します`AccessDeniedException`。Amazon Bedrock 基盤モデルリソースに適用されるポリシーから組織リソース条件を削除します。
+ バッチ推論ジョブを作成および管理する IAM アイデンティティ。
+ Amazon Bedrock がユーザーに代わってアクションを実行するために引き受けるバッチ推論[サービスロール](security-iam-sr.md)。

各アイデンティティのアクセス許可を設定する方法については、以下のトピックを参照してください。

**Topics**
+ [IAM アイデンティティがバッチ推論ジョブを送信および管理するために必要なアクセス許可](#batch-inference-permissions-user)
+ [サービスロールがバッチ推論を実行するために必要なアクセス許可](#batch-inference-permissions-service)

## IAM アイデンティティがバッチ推論ジョブを送信および管理するために必要なアクセス許可
<a name="batch-inference-permissions-user"></a>

IAM アイデンティティがこの機能を使用するには、必要なアクセス許可でアイデンティティを設定する必要があります。これを行うには、次のいずれかを実行します。
+ アイデンティティがすべての Amazon Bedrock アクションを実行できるようにするには、[AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess) ポリシーをアイデンティティにアタッチします。これを行う場合は、このトピックをスキップできます。このオプションの方が安全性は低くなります。
+ セキュリティのベストプラクティスとして、必要なアクションのみをアイデンティティに付与する必要があります。このトピックでは、この機能に必要なアクセス許可について説明します。

バッチ推論に使用されるアクションにのみアクセス許可を制限するには、次のアイデンティティベースのポリシーを IAM アイデンティティにアタッチします。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "BatchInference",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:ListInferenceProfiles",
                "bedrock:GetInferenceProfile",
                "bedrock:ListCustomModels",
                "bedrock:GetCustomModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource",
                "bedrock:CreateModelInvocationJob",
                "bedrock:GetModelInvocationJob",
                "bedrock:ListModelInvocationJobs",
                "bedrock:StopModelInvocationJob"
            ],
            "Resource": "*"
        }
    ]   
}
```

------

アクセス許可をさらに制限するには、アクションを省略するか、アクセス許可をフィルタリングするためのリソースや条件キーを指定できます。アクション、リソース、条件キーの詳細については、「*サービス認可リファレンス*」の以下のトピックを参照してください。
+ [Amazon Bedrock で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) – アクション、`Resource` フィールドで範囲を定義できるリソースタイプ、`Condition` フィールドでアクセス許可をフィルタリングできる条件キーについて説明しています。
+ [Amazon Bedrock で定義されるリソースタイプ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) – Amazon Bedrock のリソースタイプについて説明しています。
+ [Amazon Bedrock の条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) – Amazon Bedrock の条件キーについて説明しています。

次のポリシーは、バッチ推論のアクセス許可の範囲を絞り込み、Anthropic Claude 3 Haiku モデルを使用して、アカウント ID `123456789012` のユーザーが `us-west-2` リージョンでバッチ推論ジョブを作成することだけを許可する例です。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateBatchInferenceJob",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateModelInvocationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
                "arn:aws:bedrock:us-west-2:123456789012:model-invocation-job/*"
            ]
        }
    ]
}
```

------

## サービスロールがバッチ推論を実行するために必要なアクセス許可
<a name="batch-inference-permissions-service"></a>

バッチ推論は、ユーザーに代わってアクションを実行するためにユーザーのアイデンティティを引き受ける[サービスロール](security-iam-sr.md)によって実行されます。サービスロールは、以下の方法で作成できます。
+ Amazon Bedrock が AWS マネジメントコンソールを使用して、必要なアクセス許可を持つサービスロールを自動的に作成できるようにします。このオプションは、バッチ推論ジョブを作成するときに選択できます。
+ を使用して Amazon Bedrock のカスタムサービスロールを作成し AWS Identity and Access Management 、必要なアクセス許可をアタッチします。バッチ推論ジョブを送信するときは、このロールを指定します。バッチ推論用のカスタムサービスロールの作成の詳細については、「[バッチ推論向けのサービスロールを作成する](batch-iam-sr.md)」を参照してください。サービスロールの作成に関する一般的な情報については、「IAM ユーザーガイド」の「[AWS のサービスにアクセス許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。

**重要**  
[バッチ推論用にデータをアップロード](batch-inference-data.md)した S3 バケットが異なる にある場合は AWS アカウント、サービスロールにデータへのアクセスを許可するように S3 バケットポリシーを設定する必要があります。コンソールを使用してサービスロールを自動的に作成する場合にも、このポリシーを手動で設定する必要があります。Amazon Bedrock リソースの S3 バケットポリシーを設定する方法については、「[バケットポリシーを Amazon S3 バケットにアタッチして、別のアカウントにバケットポリシーへのアクセスを許可する](s3-bucket-access.md#s3-bucket-access-cross-account)」を参照してください。
Amazon Bedrock の基盤モデルは AWS、顧客の所有権を必要とする IAM ポリシー条件では使用できないマネージドリソースです。これらのモデルは によって所有および運用されており AWS、個々のお客様が所有することはできません。顧客所有のリソース (リソースタグ、組織 ID、またはその他の所有権属性を使用する条件など) をチェックする IAM ポリシー条件は、基盤モデルに適用すると失敗し、これらのサービスへの正当なアクセスがブロックされる可能性があります。  
たとえば、ポリシーに次のような`aws:ResourceOrgID`条件が含まれている場合:  

  ```
  {
    "Condition": {
      "StringEqualsIgnoreCase": {
        "aws:ResourceOrgID": ["o-xxxxxxxx"]
      }
    }
  }
  ```
バッチ推論ジョブは で失敗します`AccessDeniedException`。`aws:ResourceOrgID` 条件を削除するか、基盤モデルの個別のポリシーステートメントを作成します。