Saltar al contenido
Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post
Acerca de re:Post

¿Cómo soluciono el error «AccessDeniedException» que aparece cuando uso un perfil de inferencia entre regiones de Amazon Bedrock en una cuenta de Organizations?

2 minutos de lectura
0

Cuando uso un perfil de inferencia en una cuenta de AWS Organizations para invocar un modelo fundacional en todas las regiones de AWS en Amazon Bedrock, aparece el error «AccessDeniedException».

Descripción corta

El error «AccessDeniedException» se produce cuando tu rol de AWS Identity and Access Management (IAM) no tiene permiso para invocar la solicitud de API en las regiones de destino. Es posible que tu cuenta de AWS que sea miembro de AWS Organizations tenga una política de control de servicio (SCP) que restrinja el acceso a los servicios de Amazon Bedrock. Para resolver este problema, modifica los permisos de la política de IAM.

Resolución

Requisito previo: Solicita el acceso al modelo desde tu región de origen.

Modificación de la política de IAM

Actualiza tu SCP para incluir uno de los siguientes ejemplos de instrucciones de política.

Nota: En las siguientes instrucciones de política, sustituye aa-example-1, aa-example-2 y aa-example-3 por tus regiones.

Deniega el acceso a los servicios y recursos de AWS de regiones específicas, excepto Amazon Bedrock:

{
    "Version": "2012-10-17",
    "Statement": [
            {
            "Effect": "Deny",
            "NotAction": "bedrock:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": [
                        "aa-example-1",
                        "aa-example-2",
                        "aa-example-3"
                    ]
                }
            }
        }
    ]
}

Deniega las acciones para invocar un modelo fundacional, excepto a través del perfil de inferencia en las regiones especificadas:

{
    "Version": "2012-10-17",
    "Statement": [
            {
            "Effect": "Deny",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": "arn:aws:bedrock:*::foundation-model/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": [
                        "aa-example-1",
                        "aa-example-2",
                        "aa-example-3"
                    ]
                },
                "ArnNotLike": {
                    "bedrock:InferenceProfileArn": [
                        "arn:aws:bedrock:*:*:application-inference-profile/*",
                        "arn:aws:bedrock:*:*:inference-profile/*"
                    ]
                }
            }
        }
    ]
}

Información relacionada

Ejemplos de políticas basadas en identidad para Amazon Bedrock

Requisitos previos para los perfiles de inferencia

Implementing least privilege access for Amazon Bedrock (Implementación del acceso con privilegios mínimos para Amazon Bedrock)

Enable Amazon Bedrock cross-Region inference in multi-account environments (Activación de la inferencia entre regiones de Amazon Bedrock en entornos de varias cuentas)

Temas
Machine Learning & AIGenerative AI on AWS
Etiquetas
Amazon Bedrock
Idioma
Español
OFICIAL DE AWSActualizada hace 4 meses
Sin comentarios

Contenido relevante