Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Voraussetzungen für Inferenzprofile Bevor Sie ein Inferenzprofil verwenden können, müssen Sie prüfen, dass die folgenden Voraussetzungen erfüllt sind: + Ihre Rolle hat Zugriff auf die API-Aktionen für das Inferenzprofil. Wenn an Ihre Rolle die [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)AWS-managed Policy angehängt ist, können Sie diesen Schritt überspringen. Andernfalls gehen Sie wie folgt vor: 1. Folgen Sie den Schritten unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) und erstellen Sie die folgende Richtlinie, die einer Rolle erlaubt, inferenzprofilbezogene Aktionen auszuführen und Modellinferenz mit allen Basismodellen und Inferenzprofilen durchzuführen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*", "bedrock:CreateInferenceProfile" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*", "arn:aws:bedrock:*:*:inference-profile/*", "arn:aws:bedrock:*:*:application-inference-profile/*" ] }, { "Effect": "Allow", "Action": [ "bedrock:GetInferenceProfile", "bedrock:ListInferenceProfiles", "bedrock:DeleteInferenceProfile", "bedrock:TagResource", "bedrock:UntagResource", "bedrock:ListTagsForResource" ], "Resource": [ "arn:aws:bedrock:*:*:inference-profile/*", "arn:aws:bedrock:*:*:application-inference-profile/*" ] } ] } ``` ------ (Optional) Sie können den Zugriff der Rolle wie folgt einschränken: + Um die API-Aktionen für die Rolle einzuschränken, ändern Sie die Liste im `Action`-Feld so, dass sie nur die [API-Operationen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) enthält, für die Sie Zugriff gewähren möchten. + Wenn Sie den Zugriff der Rolle auf bestimmte Inferenzprofile einschränken möchten, ändern Sie die `Resource`-Liste so, dass sie nur die [Inferenzprofile](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) und Basismodelle enthält, für die Sie Zugriff gewähren möchten. Systemdefinierte Inferenzprofile beginnen mit `inference-profile` und Anwendungsinferenzprofile beginnen mit `application-inference-profile`. **Wichtig** Wenn Sie in der ersten Anweisung im `Resource`-Feld ein Inferenzprofil angeben, müssen Sie auch das Basismodell in den einzelnen Regionen angeben, die diesem Profil zugeordnet sind. + Um den Benutzerzugriff so einzuschränken, dass ein Basismodell nur über ein Inferenzprofil aufgerufen werden kann, fügen Sie ein `Condition`-Feld hinzu und verwenden den entsprechenden `aws:InferenceProfileArn`-[Bedingungsschlüssel](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys). Geben Sie das Inferenzprofil an, für das Sie den Zugriff filtern möchten. Diese Bedingung kann in eine Anweisung aufgenommen werden, die sich auf die `foundation-model`-Ressourcen bezieht. + Sie können einer Rolle beispielsweise die folgende Richtlinie zuordnen, damit sie das Anthropic Claude 3 Haiku Modell nur über das Anthropic Claude 3 Haiku US-Inferenzprofil im Konto *111122223333* in us-west-2 aufrufen kann: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*" ], "Resource": [ "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0" ] }, { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*" ], "Resource": [ "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-3-haiku-20240307-v1:0", "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0" ], "Condition": { "StringLike": { "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0" } } } ] } ``` ------ + Sie können einer Rolle beispielsweise die folgende Richtlinie zuordnen, damit sie das Modell Anthropic Claude Sonnet 4 nur über das globale Inferenzprofil Claude Sonnet 4 im Konto 111122223333 in der Region us-west-2 (USA Ost (Ohio)) aufrufen kann: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*" ], "Resource": [ "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0" ] }, { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*" ], "Resource": [ "arn:aws:bedrock:us-east-2::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0", "arn:aws:bedrock:::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0" ], "Condition": { "StringLike": { "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0" } } } ] } ``` ------ + Sie können die Verwendung des globalen Claude Sonnet 4-Inferenzprofils auch einschränken, indem Sie ein explizites DENY mit einer `StringEquals`-Bedingung hinzufügen, die prüft, ob der Kontextanforderungsschlüssel `aws:RequestedRegion` gleich UNSPECIFIED ist. Da eine Übereinstimmung mit `StringEquals` besteht, überschreibt der Wert „Deny“ jedes „Allow“ und blockiert die globale Übermittlung von Inferenzanfragen. ``` { "Effect": "Deny", "Action": [ "bedrock:InvokeModel*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": "unspecified" } } }, ``` 1. Folgen Sie den Schritten unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html), um die Richtlinie an eine Rolle anzufügen und der Rolle Berechtigungen zum Anzeigen und Verwenden aller Inferenzprofile zu erteilen. + Sie haben Zugriff auf das Modell angefordert, das im Inferenzprofil definiert ist und das Sie verwenden möchten, und zwar in der Region, aus der Sie das Inferenzprofil aufrufen möchten.