推論プロファイルの前提条件

推論プロファイルを使用する前に、次の前提条件を満たしていることを確認してください。

• ロールは、推論プロファイル API アクションにアクセスできます。ロールに AmazonBedrockFullAccess AWS管理ポリシーがアタッチされている場合は、このステップをスキップできます。それ以外の場合は以下の作業を行います。

  1. 「IAM ポリシーの作成」のステップに従い、次のポリシーを作成します。これにより、ロールはすべての基盤モデルと推論プロファイルを使用して推論プロファイル関連のアクションを実行し、モデル推論を実行できます。

     JSON

     {
         "Version": "2012-10-17",
         "Statement": [
             {
                 "Effect": "Allow",
                 "Action": [
                     "bedrock:InvokeModel*",
                     "bedrock:CreateInferenceProfile"
                 ],
                 "Resource": [
                     "arn:aws:bedrock:*::foundation-model/*",
                     "arn:aws:bedrock:*:*:inference-profile/*",
                     "arn:aws:bedrock:*:*:application-inference-profile/*"
                 ]
             },
             {
                 "Effect": "Allow",
                 "Action": [
                     "bedrock:GetInferenceProfile",
                     "bedrock:ListInferenceProfiles",
                     "bedrock:DeleteInferenceProfile",
                     "bedrock:TagResource",
                     "bedrock:UntagResource",
                     "bedrock:ListTagsForResource"
                 ],
                 "Resource": [
                     "arn:aws:bedrock:*:*:inference-profile/*",
                     "arn:aws:bedrock:*:*:application-inference-profile/*"
                 ]
             }
         ]
     }
     

     (オプション) ロールのアクセスは、次の方法で制限できます。

     • ロールが実行できる API アクションを制限するには、Action フィールドのリストを変更して、アクセスを許可する API オペレーションのみを含めます。

     • 特定の推論プロファイルへのロールのアクセスを制限するには、アクセスを許可する推論プロファイルと基盤モデルのみを含むように Resource リストを変更します。システム定義の推論プロファイルは で始まりinference-profile、アプリケーション推論プロファイルは で始まりますapplication-inference-profile。

       重要

       最初のステートメントの Resourceフィールドに推論プロファイルを指定する場合は、それに関連付けられた各リージョンで基盤モデルも指定する必要があります。

     • 推論プロファイルを介してのみ基盤モデルを呼び出すことができるようにユーザーアクセスを制限するには、Condition フィールドを追加し、aws:InferenceProfileArn 条件キー を使用します。アクセスをフィルタリングする推論プロファイルを指定します。この条件は、 foundation-modelリソースを対象とするステートメントに含めることができます。

     • たとえば、次のポリシーをロールにアタッチして、us-west-2 のアカウント 111122223333 の米国AnthropicClaude 3 Haiku推論プロファイルを介してのみAnthropicClaude 3 Haikuモデルを呼び出すことができます。

       JSON

       {
           "Version": "2012-10-17",
           "Statement": [
               {
                   "Effect": "Allow",
                   "Action": [
                       "bedrock:InvokeModel*"
                   ],
                   "Resource": [
                       "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0"
                   ]
               },
               {
                   "Effect": "Allow",
                   "Action": [
                       "bedrock:InvokeModel*"
                   ],
                   "Resource": [
                       "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
                       "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0"
                   ],
                   "Condition": {
                       "StringLike": {
                           "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0"
                       }
                   }
               }
           ]
       }
       

     • たとえば、次のポリシーをロールにアタッチして、us-east-2 (米国東部 (オハイオ)) のアカウント 111122223333 のグローバルClaude Sonnet 4推論プロファイルを介してのみAnthropicClaude Sonnet 4モデルを呼び出すことができます。

       JSON

       {
           "Version": "2012-10-17",
           "Statement": [
               {
                   "Effect": "Allow",
                   "Action": [
                       "bedrock:InvokeModel*"
                   ],
                   "Resource": [
                       "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0"
                   ]
               },
               {
                   "Effect": "Allow",
                   "Action": [
                       "bedrock:InvokeModel*"
                   ],
                   "Resource": [
                       "arn:aws:bedrock:us-east-2::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0",
                       "arn:aws:bedrock:::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0"
                   ],
                   "Condition": {
                       "StringLike": {
                           "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0"
                       }
                   }
               }
           ]
       }
       

     • リクエストコンテキストキーが未指定aws:RequestedRegionであることを確認するStringEquals条件を持つ明示的な拒否を追加することで、グローバルClaude Sonnet 4推論プロファイルの使用を制限することもできます。と一致するためStringEquals、拒否は許可をオーバーライドし、推論リクエストのグローバルルーティングをブロックします。

       {
           "Effect": "Deny",
           "Action": [
               "bedrock:InvokeModel*"
           ],
           "Resource": "*",
           "Condition": {
               "StringEquals": {
                   "aws:RequestedRegion": "unspecified"
               }
           }
       },
       
                                           
                                       

  2. 「IAM ID のアクセス許可の追加および削除」の手順に従って、ポリシーをロールにアタッチし、すべての推論プロファイルを表示および使用するアクセス許可をロールに付与します。

• 推論プロファイルを呼び出すリージョンで、使用する推論プロファイルで定義されたモデルへのアクセスをリクエストしました。