バッチ推論に必要なアクセス許可

バッチ推論を実行するには、次の IAM ID のアクセス許可を設定する必要があります。

• バッチ推論ジョブを作成および管理するための IAM ID。

• Amazon Bedrock がユーザーに代わってアクションを実行するために引き受けるバッチ推論サービスロール。

各 ID のアクセス許可を設定する方法については、以下のトピックを参照してください。

IAM アイデンティティがバッチ推論ジョブを送信および管理するために必要なアクセス許可

IAM アイデンティティがこの機能を使用するには、必要なアクセス許可で設定する必要があります。これを行うには、次のいずれかを実行します。

• ID がすべての Amazon Bedrock アクションを実行できるようにするには、AmazonBedrockFullAccess ポリシーを ID にアタッチします。これを行うと、このトピックをスキップできます。このオプションは安全性が低くなります。

• セキュリティのベストプラクティスとして、ID に必要なアクションのみを付与する必要があります。このトピックでは、この機能に必要なアクセス許可について説明します。

バッチ推論に使用されるアクションのみにアクセス許可を制限するには、次のアイデンティティベースのポリシーを IAM アイデンティティにアタッチします。

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "BatchInference",
            "Effect": "Allow",
            "Action": [  
                "bedrock:ListFoundationModels",
                "bedrock:GetFoundationModel",
                "bedrock:ListInferenceProfiles",
                "bedrock:GetInferenceProfile",
                "bedrock:ListCustomModels",
                "bedrock:GetCustomModel",
                "bedrock:TagResource", 
                "bedrock:UntagResource", 
                "bedrock:ListTagsForResource",
                "bedrock:CreateModelInvocationJob",
                "bedrock:GetModelInvocationJob",
                "bedrock:ListModelInvocationJobs",
                "bedrock:StopModelInvocationJob"
            ],
            "Resource": "*"
        }
    ]   
}

アクセス許可をさらに制限するには、アクションを省略するか、アクセス許可をフィルタリングするリソースと条件キーを指定できます。アクション、リソース、および条件キーの詳細については、「サービス認可リファレンス」の以下のトピックを参照してください。

• Amazon Bedrock で定義されるアクション – アクション、 Resourceフィールドでスコープできるリソースタイプ、および Conditionフィールドでアクセス許可をフィルタリングできる条件キーについて説明します。

• Amazon Bedrock で定義されるリソースタイプ – Amazon Bedrock のリソースタイプについて説明します。

• Amazon Bedrock の条件キー – Amazon Bedrock の条件キーについて説明します。

次のポリシーは、 AnthropicClaude 3 Haikuモデルを使用して、アカウント ID を持つユーザーのみがus-west-2リージョンにバッチ推論ジョブ123456789012を作成できるように、バッチ推論のアクセス許可をスコープダウンする例です。

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateBatchInferenceJob",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateModelInvocationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
                "arn:aws:bedrock:us-west-2:123456789012:model-invocation-job/*"
            ]
        }
    ]
}

サービスロールがバッチ推論を実行するために必要なアクセス許可

バッチ推論は、ユーザーに代わってアクションを実行するために ID を引き受けるサービスロールによって実行されます。サービスロールは、次の方法で作成できます。

• Amazon Bedrock が を使用して、必要なアクセス許可を持つサービスロールを自動的に作成できるようにします AWS Management Console。このオプションは、バッチ推論ジョブを作成するときに選択できます。

• を使用して Amazon Bedrock のカスタムサービスロールを作成し AWS Identity and Access Management 、必要なアクセス許可をアタッチします。バッチ推論ジョブを送信するときに、このロールを指定します。バッチ推論用のカスタムサービスロールの作成の詳細については、「」を参照してくださいバッチ推論用のカスタムサービスロールを作成する。サービスロールの作成に関する一般的な情報については、IAM ユーザーガイドの「 にアクセス許可を委任するロールを作成する AWS のサービス」を参照してください。

重要

バッチ推論用にデータをアップロードした S3 バケットが別の にある場合は AWS アカウント、サービスロールにデータへのアクセスを許可するように S3 バケットポリシーを設定する必要があります。コンソールを使用して自動的にサービスロールを作成する場合でも、このポリシーを手動で設定する必要があります。Amazon Bedrock リソースの S3 バケットポリシーを設定する方法については、「」を参照してくださいAmazon S3 バケットにバケットポリシーをアタッチして、別のアカウントにバケットポリシーへのアクセスを許可する。