Autorisations requises pour le débit provisionné Autoriser les utilisateurs à invoquer un modèle provisionné

Exemples de politiques basées sur l'identité pour le débit provisionné

Sélectionnez une rubrique pour voir des exemples de politiques IAM que vous pouvez associer à un rôle IAM afin de fournir des autorisations pour les actions associées. Débit provisionné pour Amazon Bedrock

Rubriques

Autorisations requises pour le débit provisionné
Autoriser les utilisateurs à invoquer un modèle provisionné

Autorisations requises pour le débit provisionné

Pour qu'une identité IAM utilise le débit provisionné, vous devez la configurer avec les autorisations nécessaires. Vous pouvez joindre la AmazonBedrockFullAccesspolitique pour accorder les autorisations appropriées au rôle.

Pour limiter les autorisations aux seules actions utilisées dans Provisioned Throughput, associez la politique basée sur l'identité suivante à un rôle IAM :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Provisioned Throughput permissions",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetFoundationModel",
                "bedrock:ListFoundationModels",
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:ListTagsForResource",
                "bedrock:UntagResource",
                "bedrock:TagResource",
                "bedrock:CreateProvisionedModelThroughput",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:ListProvisionedModelThroughputs",
                "bedrock:UpdateProvisionedModelThroughput",
                "bedrock:DeleteProvisionedModelThroughput"
            ],
            "Resource": "*"
        }
    ]
}

Vous pouvez restreindre davantage les autorisations en omettant des actions ou en spécifiant des ressources et des clés de condition. Une identité IAM peut appeler des opérations d'API sur des ressources spécifiques. Par exemple, l'CreateProvisionedModelThroughputopération ne peut être utilisée que sur des ressources de modèle personnalisé et de modèle de base et l'DeleteProvisionedModelThroughputopération ne peut être utilisée que sur des ressources de modèle provisionnées. Pour les opérations d'API qui ne sont pas utilisées sur un type de ressource spécifique (tel que ListProvisionedModelThroughputs), spécifiez * commeResource. Si vous spécifiez une opération d'API qui ne peut pas être utilisée sur la ressource spécifiée dans la politique, Amazon Bedrock renvoie une erreur.

Autoriser les utilisateurs à invoquer un modèle provisionné

Voici un exemple de politique que vous pouvez associer à un rôle IAM pour lui permettre d'utiliser un modèle provisionné dans le cadre de l'inférence de modèles. Par exemple, vous pouvez associer cette politique à un rôle pour lequel vous souhaitez uniquement être autorisé à utiliser un modèle provisionné. Le rôle ne sera pas en mesure de gérer ou de consulter les informations relatives au débit provisionné.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Use a Provisioned Throughput for model inference",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:provisioned-model/${my-provisioned-model}"
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Exemples d'agents pour Amazon Bedrock

Exemples de Bedrock Studio