Wie behebe ich den Fehler „AccessDeniedException“, den ich erhalte, wenn ich ein regionsübergreifendes Amazon Bedrock-Inferenzprofil in einem Organisationskonto verwende?

Lesedauer: 2 Minute

Wenn ich ein Inferenzprofil in einem Konto von AWS Organizations verwende, um ein Basismodell für AWS-Regionen in Amazon Bedrock aufzurufen, erhalte ich den Fehler „AccessDeniedException“.

Kurzbeschreibung

Der Fehler „AccessDeniedException“ tritt auf, wenn deine AWS Identity and Access Management (IAM)-Rolle nicht berechtigt ist, die API-Anforderung in den Zielregionen aufzurufen. Dein AWS-Konto, das Mitglied von AWS Organizations ist, hat möglicherweise eine Service Control Policy (SCP), die den Zugriff auf Amazon Bedrock-Services einschränkt. Um dieses Problem zu beheben, ändere die IAM-Richtlinienberechtigungen.

Lösung

Voraussetzung: Fordere Modellzugriff aus deiner Quellregion an.

IAM-Richtlinie ändern

Aktualisiere deine SCP, sodass sie eine der folgenden Beispielrichtlinien enthält.

Hinweis: Ersetze in den folgenden Richtlinienerklärungen aa-example-1, aa-example-2, aa-example-3 durch deine Regionen.

Verweigere den Zugriff auf AWS-Services und -Ressourcen aus bestimmten Regionen mit Ausnahme von Amazon Bedrock:

{
    "Version": "2012-10-17",
    "Statement": [
            {
            "Effect": "Deny",
            "NotAction": "bedrock:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": [
                        "aa-example-1",
                        "aa-example-2",
                        "aa-example-3"
                    ]
                }
            }
        }
    ]
}

Verweigere Aktionen zum Aufrufen eines Basismodells, außer über das Inferenzprofil in den angegebenen Regionen:

{
    "Version": "2012-10-17",
    "Statement": [
            {
            "Effect": "Deny",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": "arn:aws:bedrock:*::foundation-model/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": [
                        "aa-example-1",
                        "aa-example-2",
                        "aa-example-3"
                    ]
                },
                "ArnNotLike": {
                    "bedrock:InferenceProfileArn": [
                        "arn:aws:bedrock:*:*:application-inference-profile/*",
                        "arn:aws:bedrock:*:*:inference-profile/*"
                    ]
                }
            }
        }
    ]
}

Relevanter Inhalt

Wie behebe ich InvokeModel-API-Fehler in Amazon Bedrock?
AWS OFFICIALAktualisiert vor 6 Monaten
Wie behebe ich den Fehler „AccessDeniedException“, wenn ich den AWS-CLI-Befehl create-group verwende, um QuickSight-Gruppen zu erstellen?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie behebe ich den AccessDeniedException-Fehler beim Zugreifen auf eine Amazon DynamoDB-Tabelle?
AWS OFFICIALAktualisiert vor einem Jahr
Wie behebe ich die HTTP 400-Fehler „AccessDeniedException“ von Amazon SNS?
AWS OFFICIALAktualisiert vor 2 Jahren

Wie behebe ich den Fehler „AccessDeniedException“, den ich erhalte, wenn ich ein regionsübergreifendes Amazon Bedrock-Inferenzprofil in einem Organisationskonto verwende?

Kurzbeschreibung

Lösung

IAM-Richtlinie ändern

Ähnliche Informationen

Relevanter Inhalt