Ejemplos de políticas basadas en la identidad para el rendimiento aprovisionado - Amazon Bedrock
Permisos necesarios para el rendimiento aprovisionadoPermita a los usuarios invocar un modelo aprovisionado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplos de políticas basadas en la identidad para el rendimiento aprovisionado

Seleccione un tema para ver ejemplos de políticas de IAM que puede adjuntar a una función de IAM para conceder permisos a las acciones relacionadas con ellas. Rendimiento aprovisionado para Amazon Bedrock

Permisos necesarios para el rendimiento aprovisionado

Para que una identidad de IAM utilice el rendimiento aprovisionado, debe configurarla con los permisos necesarios. Puede adjuntar la AmazonBedrockFullAccesspolítica para conceder los permisos adecuados al rol.

Para restringir los permisos únicamente a las acciones que se utilizan en el rendimiento aprovisionado, asocie la siguiente política basada en la identidad a un rol de IAM:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Provisioned Throughput permissions",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetFoundationModel",
                "bedrock:ListFoundationModels",
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:ListTagsForResource",
                "bedrock:UntagResource",
                "bedrock:TagResource",
                "bedrock:CreateProvisionedModelThroughput",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:ListProvisionedModelThroughputs",
                "bedrock:UpdateProvisionedModelThroughput",
                "bedrock:DeleteProvisionedModelThroughput"
            ],
            "Resource": "*"
        }
    ]
}

Puede restringir aún más los permisos omitiendo acciones o especificando los recursos y las claves de condición. Una identidad de IAM puede llamar a las operaciones de la API en recursos específicos. Por ejemplo, la CreateProvisionedModelThroughputoperación solo se puede usar en los recursos del modelo personalizado y del modelo básico, y la DeleteProvisionedModelThroughputoperación solo se puede usar en los recursos del modelo aprovisionados. Para las operaciones de API que no se utilizan en un tipo de recurso específico (por ejemplo ListProvisionedModelThroughputs), especifique * como. Resource Si especifica una operación de API que no se puede usar en el recurso especificado en la política, Amazon Bedrock devuelve un error.

Permita a los usuarios invocar un modelo aprovisionado

El siguiente es un ejemplo de política que puede adjuntar a un rol de IAM para permitirle usar un modelo aprovisionado en la inferencia de modelos. Por ejemplo, puede adjuntar esta política a un rol para el que desee que solo tenga permisos para usar un modelo aprovisionado. El rol no podrá administrar ni ver información sobre el rendimiento aprovisionado.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Use a Provisioned Throughput for model inference",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:provisioned-model/${my-provisioned-model}"
        }
    ]
}