Beispiele für identitätsbasierte Richtlinien für Provisioned Throughput - Amazon Bedrock
Erforderliche Berechtigungen für Provisioned ThroughputErlauben Sie Benutzern, ein bereitgestelltes Modell aufzurufen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für identitätsbasierte Richtlinien für Provisioned Throughput

Wählen Sie ein Thema aus, um Beispiele für IAM-Richtlinien zu sehen, die Sie einer IAM-Rolle zuordnen können, um Berechtigungen für Aktionen bereitzustellen, die sich auf Folgendes beziehen: Bereitgestellter Durchsatz für Amazon Bedrock

Erforderliche Berechtigungen für Provisioned Throughput

Damit eine IAM-Identität Provisioned Throughput verwenden kann, müssen Sie sie mit den erforderlichen Berechtigungen konfigurieren. Sie können die AmazonBedrockFullAccessRichtlinie anhängen, um der Rolle die richtigen Berechtigungen zu gewähren.

Um Berechtigungen nur auf Aktionen zu beschränken, die in Provisioned Throughput verwendet werden, fügen Sie einer IAM-Rolle die folgende identitätsbasierte Richtlinie hinzu:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Provisioned Throughput permissions",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetFoundationModel",
                "bedrock:ListFoundationModels",
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream",
                "bedrock:ListTagsForResource",
                "bedrock:UntagResource",
                "bedrock:TagResource",
                "bedrock:CreateProvisionedModelThroughput",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:ListProvisionedModelThroughputs",
                "bedrock:UpdateProvisionedModelThroughput",
                "bedrock:DeleteProvisionedModelThroughput"
            ],
            "Resource": "*"
        }
    ]
}

Sie können Berechtigungen weiter einschränken, indem Sie Aktionen weglassen oder Ressourcen und Bedingungsschlüssel angeben. Eine IAM-Identität kann API-Operationen für bestimmte Ressourcen aufrufen. Der CreateProvisionedModelThroughputVorgang kann beispielsweise nur für benutzerdefinierte Modell- und Foundation-Modellressourcen verwendet werden, und der DeleteProvisionedModelThroughputVorgang kann nur für bereitgestellte Modellressourcen verwendet werden. Geben Sie für API-Operationen, die nicht für einen bestimmten Ressourcentyp (z. B. ListProvisionedModelThroughputs) verwendet werden, * als. Resource Wenn Sie einen API-Vorgang angeben, der nicht für die in der Richtlinie angegebene Ressource verwendet werden kann, gibt Amazon Bedrock einen Fehler zurück.

Erlauben Sie Benutzern, ein bereitgestelltes Modell aufzurufen

Im Folgenden finden Sie eine Beispielrichtlinie, die Sie einer IAM-Rolle zuordnen können, damit sie ein bereitgestelltes Modell für die Modellinferenz verwenden kann. Sie könnten diese Richtlinie beispielsweise einer Rolle zuordnen, der Sie nur die Rechte zur Verwendung eines bereitgestellten Modells zuweisen möchten. Die Rolle wird nicht in der Lage sein, den bereitgestellten Durchsatz zu verwalten oder Informationen darüber anzuzeigen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Use a Provisioned Throughput for model inference",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": "arn:aws:bedrock:aws-region:111122223333:provisioned-model/${my-provisioned-model}"
        }
    ]
}