本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
预配置吞吐量的基于身份的策略示例
选择一个主题以查看您可以附加到 IAM 角色的 IAM 策略示例,以便为与之相关的操作配置权限Amazon Bedrock 的预配置吞吐量。
预配置吞吐量所需的权限
要让 IAM 身份使用预配置吞吐量,您必须为其配置必要的权限。您可以附加AmazonBedrockFullAccess策略以向该角色授予适当的权限。
要将权限限制为仅在预配置吞吐量中使用的操作,请将以下基于身份的策略附加到 IAM 角色:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Provisioned Throughput permissions", "Effect": "Allow", "Action": [ "bedrock:GetFoundationModel", "bedrock:ListFoundationModels", "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream", "bedrock:ListTagsForResource", "bedrock:UntagResource", "bedrock:TagResource", "bedrock:CreateProvisionedModelThroughput", "bedrock:GetProvisionedModelThroughput", "bedrock:ListProvisionedModelThroughputs", "bedrock:UpdateProvisionedModelThroughput", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": "*" } ] }
您可以通过省略操作或指定资源和条件键来进一步限制权限。IAM 身份可以对特定资源调用 API 操作。例如,该CreateProvisionedModelThroughput操作只能用于自定义模型和基础模型资源,并且该DeleteProvisionedModelThroughput操作只能用于预配置的模型资源。对于未在特定资源类型上使用的 API 操作(例如 ListProvisionedModelThroughputs),请将* 指定为Resource。如果您指定的 API 操作不能用于策略中指定的资源,Amazon Bedrock 将返回错误。
允许用户调用预配置的模型
以下是一个示例策略,您可以将其附加到 IAM 角色以允许其在模型推断中使用预配置的模型。例如,您可以将此策略附加到您只想拥有使用预配置模型权限的角色。该角色将无法管理或查看有关预配置吞吐量的信息。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Use a Provisioned Throughput for model inference", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": "arn:aws:bedrock:aws-region:111122223333:provisioned-model/${my-provisioned-model}" } ] }
