推論設定檔的先決條件

在使用推論設定檔之前，請檢查您是否符合下列先決條件：

• 您的角色可存取推論設定檔 API 動作。如果您的角色已連接 AmazonBedrockFullAccess AWS受管政策，您可以略過此步驟。若否，請執行下列操作：

  1. 遵循建立 IAM 政策中的步驟，並建立下列政策，允許角色執行推論設定檔相關的動作，並使用所有基礎模型和推論設定檔執行模型推論。

     JSON

     {
         "Version": "2012-10-17",
         "Statement": [
             {
                 "Effect": "Allow",
                 "Action": [
                     "bedrock:InvokeModel*",
                     "bedrock:CreateInferenceProfile"
                 ],
                 "Resource": [
                     "arn:aws:bedrock:*::foundation-model/*",
                     "arn:aws:bedrock:*:*:inference-profile/*",
                     "arn:aws:bedrock:*:*:application-inference-profile/*"
                 ]
             },
             {
                 "Effect": "Allow",
                 "Action": [
                     "bedrock:GetInferenceProfile",
                     "bedrock:ListInferenceProfiles",
                     "bedrock:DeleteInferenceProfile",
                     "bedrock:TagResource",
                     "bedrock:UntagResource",
                     "bedrock:ListTagsForResource"
                 ],
                 "Resource": [
                     "arn:aws:bedrock:*:*:inference-profile/*",
                     "arn:aws:bedrock:*:*:application-inference-profile/*"
                 ]
             }
         ]
     }
     

     （選用） 您可以透過以下方式限制角色的存取：

     • 若要限制角色可以執行的 API 動作，請修改 Action 欄位中的清單，只包含您要允許存取的 API 操作。

     • 若要限制角色對特定推論描述檔的存取，請將Resource清單修改為僅包含您要允許存取的推論描述檔和基礎模型。系統定義的推論設定檔以 開頭inference-profile，應用程式推論設定檔以 開頭application-inference-profile。

       重要

       當您在第一個陳述式的 Resource 欄位中指定推論描述檔時，您還必須在與其相關聯的每個區域中指定基礎模型。

     • 若要限制使用者存取，使其只能透過推論設定檔叫用基礎模型，請新增 Condition 欄位並使用 aws:InferenceProfileArn 條件金鑰。指定您要篩選存取權的推論設定檔。此條件可以包含在範圍為 foundation-model 資源的陳述式中。

     • 例如，您可以將下列政策連接至角色，使其只能透過 us-west-2 中帳戶 111122223333 中的美國AnthropicClaude 3 Haiku推論設定檔叫用AnthropicClaude 3 Haiku模型：

       JSON

       {
           "Version": "2012-10-17",
           "Statement": [
               {
                   "Effect": "Allow",
                   "Action": [
                       "bedrock:InvokeModel*"
                   ],
                   "Resource": [
                       "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0"
                   ]
               },
               {
                   "Effect": "Allow",
                   "Action": [
                       "bedrock:InvokeModel*"
                   ],
                   "Resource": [
                       "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-3-haiku-20240307-v1:0",
                       "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-3-haiku-20240307-v1:0"
                   ],
                   "Condition": {
                       "StringLike": {
                           "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-west-2:111122223333:inference-profile/us.anthropic.claude-3-haiku-20240307-v1:0"
                       }
                   }
               }
           ]
       }
       

     • 例如，您可以將下列政策連接至角色，使其只能透過 us-east-2 （美國東部 （俄亥俄）) 中帳戶 111122223333 中的全域Claude Sonnet 4推論設定檔叫用AnthropicClaude Sonnet 4模型。

       JSON

       {
           "Version": "2012-10-17",
           "Statement": [
               {
                   "Effect": "Allow",
                   "Action": [
                       "bedrock:InvokeModel*"
                   ],
                   "Resource": [
                       "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0"
                   ]
               },
               {
                   "Effect": "Allow",
                   "Action": [
                       "bedrock:InvokeModel*"
                   ],
                   "Resource": [
                       "arn:aws:bedrock:us-east-2::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0",
                       "arn:aws:bedrock:::foundation-model/anthropic.claude-sonnet-4-20250514-v1:0"
                   ],
                   "Condition": {
                       "StringLike": {
                           "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-east-2:111122223333:inference-profile/global.anthropic.claude-sonnet-4-20250514-v1:0"
                       }
                   }
               }
           ]
       }
       

     • 您也可以透過新增明確拒絕條件StringEquals來檢查請求內容索引鍵aws:RequestedRegion是否等於未指定，來限制使用全域Claude Sonnet 4推論描述檔。由於符合 StringEquals，拒絕會覆寫任何允許並封鎖推論請求的全域路由。

       {
           "Effect": "Deny",
           "Action": [
               "bedrock:InvokeModel*"
           ],
           "Resource": "*",
           "Condition": {
               "StringEquals": {
                   "aws:RequestedRegion": "unspecified"
               }
           }
       },
       
                                           
                                       

  2. 請依照新增和移除 IAM 身分許可中的步驟，將政策連接至角色，以授予角色檢視和使用所有推論設定檔的許可。

• 您已在要呼叫推論描述檔的區域中，請求存取您要使用的推論描述檔中定義的模型。