本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 批次推論的必要許可
若要執行批次推論,您必須設定下列 IAM 身分的許可:
**警告**
批次推論中使用的基礎模型資源為 Amazon Bedrock 服務所擁有,而非您的 所擁有 AWS 帳戶。如果您的 IAM 政策包含以組織為基礎的資源條件 (例如 `aws:ResourceOrgID`),則對基礎模型的批次推論請求會失敗,並顯示 `AccessDeniedException`。從套用至 Amazon Bedrock 基礎模型資源的政策中移除組織資源條件。
+ 將建立和管理批次推論任務的 IAM 身分。
+ Amazon Bedrock 擔任代表您執行動作的批次推論[服務角色](security-iam-sr.md)。
若要了解如何設定每個身分的許可,請導覽至下列主題:
**Topics**
+ [IAM 身分提交和管理批次推論任務所需的許可](#batch-inference-permissions-user)
+ [服務角色執行批次推論所需的許可](#batch-inference-permissions-service)
## IAM 身分提交和管理批次推論任務所需的許可
若要讓 IAM 身分使用此功能,您必須以必要的許可進行設定。若要這麼做,請執行下列其中一項:
+ 若要允許身分執行所有 Amazon Bedrock 動作,請將 [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess) 政策連接至身分。如果您這樣做,您可以略過此主題。此選項較不安全。
+ 作為安全最佳實務,您應該只將必要的動作授予身分。本主題介紹使用此功能所需的許可。
若要將許可限制為僅用於批次推論的動作,請將下列身分型政策連接至 IAM 身分:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BatchInference",
"Effect": "Allow",
"Action": [
"bedrock:ListFoundationModels",
"bedrock:GetFoundationModel",
"bedrock:ListInferenceProfiles",
"bedrock:GetInferenceProfile",
"bedrock:ListCustomModels",
"bedrock:GetCustomModel",
"bedrock:TagResource",
"bedrock:UntagResource",
"bedrock:ListTagsForResource",
"bedrock:CreateModelInvocationJob",
"bedrock:GetModelInvocationJob",
"bedrock:ListModelInvocationJobs",
"bedrock:StopModelInvocationJob"
],
"Resource": "*"
}
]
}
```
------
若要進一步限制許可,您可以忽略動作,也可以指定要篩選許可的資源和條件索引鍵。如需動作、資源和條件索引鍵的詳細資訊,請參閱*服務授權參考*中的下列主題:
+ [Amazon Bedrock 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) – 了解動作、您可以在 `Resource` 欄位中限制其範圍的資源類型,以及您可以在 `Condition` 欄位中篩選許可的條件索引鍵。
+ [Amazon Bedrock 定義的資源類型](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) – 了解 Amazon Bedrock 中的資源類型。
+ [Amazon Bedrock 的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) – 了解 Amazon Bedrock 中的條件索引鍵。
下列政策範例縮小了批次推論的許可範圍,只允許帳戶 ID 為 `123456789012` 的使用者使用 Anthropic Claude 3 Haiku 模型在 `us-west-2` 區域中建立批次推論任務:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateBatchInferenceJob",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelInvocationJob"
],
"Resource": [
"arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
"arn:aws:bedrock:us-west-2:123456789012:model-invocation-job/*"
]
}
]
}
```
------
## 服務角色執行批次推論所需的許可
批次推論是由擔任您身分的[服務角色](security-iam-sr.md)執行,以代表您執行動作。您可以透過以下方式建立服務角色:
+ 使用 AWS 管理主控台讓 Amazon Bedrock 自動為您建立具有必要許可的服務角色。您可以在建立批次推論任務時選取此選項。
+ 使用 AWS Identity and Access Management 並連接必要的許可,為 Amazon Bedrock 建立自訂服務角色。當您提交批次推論任務時,請指定此角色。如需為批次推論建立自訂服務角色的詳細資訊,請參閱[建立批次推論的自訂服務角色](batch-iam-sr.md)。如需建立服務角色的一般資訊,請參閱《IAM 使用者指南》中的[建立角色以將許可委派給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
**重要**
如果您[上傳資料以進行批次推論](batch-inference-data.md)的 S3 儲存貯體不同 AWS 帳戶,您必須設定 S3 儲存貯體政策,以允許服務角色存取資料。即使您使用主控台自動建立服務角色,仍必須手動設定此政策。若要了解如何設定 Amazon Bedrock 資源的 S3 儲存貯體政策,請參閱 [將儲存貯體政策連接至 Amazon S3 儲存貯體以供另一個帳戶存取](s3-bucket-access.md#s3-bucket-access-cross-account)。
Amazon Bedrock 中的基礎模型是 AWS受管資源,無法用於需要客戶擁有權的 IAM 政策條件。這些模型由 擁有和操作 AWS,無法由個別客戶擁有。套用到基礎模型時,檢查客戶擁有的資源 (例如使用資源標籤、組織 ID 或其他所有權屬性的條件) 的任何 IAM 政策條件都將失敗,可能封鎖對這些服務的合法存取。
例如,如果您的政策包含以下`aws:ResourceOrgID`條件:
```
{
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceOrgID": ["o-xxxxxxxx"]
}
}
}
```
您的批次推論任務將失敗,並顯示 `AccessDeniedException`。移除`aws:ResourceOrgID`條件或為基礎模型建立單獨的政策陳述式。