Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Prerequisiti per i profili di inferenza Prima di utilizzare un profilo di inferenza, verifica di soddisfare i seguenti prerequisiti: + Il tuo ruolo ha accesso alle azioni dell’API del profilo di inferenza. Se al tuo ruolo è [AmazonBedrockFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonBedrockFullAccess)AWSallegata la policy gestita, puoi saltare questo passaggio. In caso contrario, eseguire le seguenti operazioni: 1. Segui i passaggi descritti in [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) e crea la policy seguente, che consente a un ruolo di eseguire azioni relative al profilo di inferenza e di eseguire l’inferenza del modello utilizzando tutti i modelli di fondazione e tutti i profili di inferenza. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*", "bedrock:CreateInferenceProfile" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*", "arn:aws:bedrock:*:*:inference-profile/*", "arn:aws:bedrock:*:*:application-inference-profile/*" ] }, { "Effect": "Allow", "Action": [ "bedrock:GetInferenceProfile", "bedrock:ListInferenceProfiles", "bedrock:DeleteInferenceProfile", "bedrock:TagResource", "bedrock:UntagResource", "bedrock:ListTagsForResource" ], "Resource": [ "arn:aws:bedrock:*:*:inference-profile/*", "arn:aws:bedrock:*:*:application-inference-profile/*" ] } ] } ``` ------ (Facoltativo) Puoi limitare l’accesso del ruolo nei modi seguenti: + Per limitare le azioni API che il ruolo può eseguire, modifica l’elenco nel campo `Action` in modo che contenga solo le [operazioni API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions) a cui desideri consentire l’accesso. + Per limitare l’accesso del ruolo a profili di inferenza specifici, modifica l’elenco `Resource` in modo che contenga solo i [profili di inferenza](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-resources-for-iam-policies) e modelli di fondazione a cui desideri consentire l’accesso. I profili di inferenza definiti dal sistema iniziano con `inference-profile`, mentre quelli di inferenza delle applicazioni iniziano con `application-inference-profile`. **Importante** Quando si specifica un profilo di inferenza nel campo `Resource` della prima istruzione, è necessario specificare anche il modello di fondazione in ogni Regione associata. + Per limitare l’accesso degli utenti in modo che possano invocare un modello di fondazione solo tramite un profilo di inferenza, aggiungi un campo `Condition` e usa la [chiave di condizione](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) `aws:InferenceProfileArn`. Specifica il profilo di inferenza in base al quale filtrare l’accesso. Questa condizione può essere inclusa in un’istruzione che si riferisce alle risorse `foundation-model`. + Ad esempio, puoi allegare la seguente politica a un ruolo per consentirgli di richiamare il Anthropic Claude 3 Haiku modello solo tramite il profilo di Anthropic Claude 3 Haiku inferenza statunitense nell'account in *111122223333* us-west-2: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*" ], "Resource": [ "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0" ] }, { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*" ], "Resource": [ "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-3-haiku-20240307-v1:0", "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0" ], "Condition": { "StringLike": { "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0" } } } ] } ``` ------ + Ad esempio, è possibile collegare la policy seguente a un ruolo per consentirgli di invocare il modello Anthropic Claude Sonnet 4 solo tramite il profilo di inferenza Claude Sonnet 4 globale nell’account 111122223333 in us-east-2, Stati Uniti orientali (Ohio). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*" ], "Resource": [ "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0" ] }, { "Effect": "Allow", "Action": [ "bedrock:InvokeModel*" ], "Resource": [ "arn:aws:bedrock:us-east-2::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0", "arn:aws:bedrock:::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0" ], "Condition": { "StringLike": { "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0" } } } ] } ``` ------ + È inoltre possibile limitare l’uso del profilo di inferenza Claude Sonnet 4 globale aggiungendo un’opzione Deny esplicita con una condizione `StringEquals` che verifichi che il valore della chiave di contesto della richiesta `aws:RequestedRegion` sia “unspecified”. Poiché il valore corrisponde`StringEquals`, l’opzione sovrascrive qualsiasi opzione Allow e blocca il routing globale delle richieste di inferenza. ``` { "Effect": "Deny", "Action": [ "bedrock:InvokeModel*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": "unspecified" } } }, ``` 1. Segui i passaggi indicati in [Aggiunta e rimozione delle autorizzazioni di identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) per collegare la policy a un ruolo e concedere al ruolo le autorizzazioni per visualizzare e utilizzare tutti i profili di inferenza. + Hai richiesto l’accesso al modello definito nel profilo di inferenza che desideri utilizzare nella Regione da cui desideri chiamare il profilo di inferenza stesso.