佈建輸送量的識別型原則範例 - Amazon Bedrock
佈建輸送量的必要權限允許使用者叫用佈建的模型

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

佈建輸送量的識別型原則範例

選取主題以查看可附加至 IAM 角色的範例 IAM 政策,以便為相關動作佈建許可Amazon 基岩的佈建輸送量

佈建輸送量的必要權限

若要讓 IAM 身分使用佈建輸送量,您必須使用必要的權限進行設定。您可以附加AmazonBedrockFullAccess原則以授與角色的適當權限。

若要將權限限制為僅在佈建輸送量中使用的動作,請將以下身分型政策附加至 IAM 角色:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Provisioned Throughput permissions",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetFoundationModel",
                "bedrock:ListFoundationModels",
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:ListTagsForResource",
                "bedrock:UntagResource",
                "bedrock:TagResource",
                "bedrock:CreateProvisionedModelThroughput",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:ListProvisionedModelThroughputs",
                "bedrock:UpdateProvisionedModelThroughput",
                "bedrock:DeleteProvisionedModelThroughput"
            ],
            "Resource": "*"
        }
    ]
}

您可以省略動作或指定資源條件索引鍵,進一步限制權限。IAM 身分可針對特定資源呼叫 API 作業。例如,CreateProvisionedModelThroughput作業只能用於自訂模型和基礎模型資源,而且只能在佈建的模型資源上使用此DeleteProvisionedModelThroughput作業。對於特定資源類型 (例如 ListProvisionedModelThroughputs) 未使用的 API 作業,請將 * 指定為Resource. 如果您指定的 API 作業無法用於政策中指定的資源,Amazon 基岩會傳回錯誤。

允許使用者叫用佈建的模型

以下是您可以附加至 IAM 角色的範例政策,以便在模型推論中使用佈建模型。例如,您可以將此原則附加至只想擁有使用已佈建模型之權限的角色。角色將無法管理或查看佈建輸送量的相關資訊。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Use a Provisioned Throughput for model inference",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:provisioned-model/${my-provisioned-model}"
        }
    ]
}