Come posso risolvere l'errore "AccessDeniedException" che ricevo quando utilizzo un profilo di inferenza tra Regioni di Amazon Bedrock in un account Organizations?

2 minuti di lettura

Quando utilizzo un profilo di inferenza in un account AWS Organizations per invocare un modello di base tra Regioni AWS in Amazon Bedrock, ricevo l'errore "AccessDeniedException".

Breve descrizione

L'errore "AccessDeniedException" si verifica quando il ruolo AWS Identity and Access Management (AWS IAM) non dispone dell'autorizzazione per invocare la richiesta API nelle Regioni di destinazione. L'account AWS membro di AWS Organizations potrebbe avere una policy di controllo dei servizi (SCP) che limita l'accesso ai servizi di Amazon Bedrock. Per risolvere il problema, modifica le autorizzazioni della policy IAM.

Risoluzione

Prerequisito: richiedi l'accesso al modello dalla Regione di origine.

Modifica la policy IAM

Aggiorna l'SCP per includere uno dei seguenti esempi di istruzioni di policy.

Nota: nelle seguenti istruzioni di policy, sostituisci aa-example-1, aa-example-2 e aa-example-3 con le tue Regioni.

Nega l'accesso ai servizi e alle risorse AWS da specifiche Regioni ad eccezione di Amazon Bedrock:

{
    "Version": "2012-10-17",
    "Statement": [
            {
            "Effect": "Deny",
            "NotAction": "bedrock:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": [
                        "aa-example-1",
                        "aa-example-2",
                        "aa-example-3"
                    ]
                }
            }
        }
    ]
}

Nega le azioni per invocare un modello di fondazione se non tramite il profilo di inferenza nelle Regioni specificate:

{
    "Version": "2012-10-17",
    "Statement": [
            {
            "Effect": "Deny",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": "arn:aws:bedrock:*::foundation-model/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": [
                        "aa-example-1",
                        "aa-example-2",
                        "aa-example-3"
                    ]
                },
                "ArnNotLike": {
                    "bedrock:InferenceProfileArn": [
                        "arn:aws:bedrock:*:*:application-inference-profile/*",
                        "arn:aws:bedrock:*:*:inference-profile/*"
                    ]
                }
            }
        }
    ]
}

Informazioni correlate

Esempi di policy basate su identità per Amazon Bedrock

Prerequisiti per i profili di inferenza

Implementing least privilege access for Amazon Bedrock (Implementazione dell'accesso con privilegi minimi per Amazon Bedrock)

Enable Amazon Bedrock cross-Region inference in multi-account environments (Abilitazione dell'inferenza tra Regioni di Amazon Bedrock in ambienti multi-account)

Argomenti: Machine Learning & AI Generative AI on AWS
Tag: Amazon Bedrock
Lingua: Italiano

AWS UFFICIALEAggiornata 3 mesi fa

Contenuto pertinente

Come posso limitare il routing di inferenza tra Regioni di Amazon Bedrock a Regioni specifiche?
AWS UFFICIALEAggiornata 2 mesi fa
Come posso risolvere gli errori dell'API InvokeModel in Amazon Bedrock?
AWS UFFICIALEAggiornata 7 mesi fa
Come posso risolvere gli errori relativi a eccezioni di convalida in Amazon Bedrock?
AWS UFFICIALEAggiornata 6 mesi fa
Come posso risolvere l'errore "ThrottlingException"quando utilizzo le risorse on demand di Amazon Bedrock?
AWS UFFICIALEAggiornata 5 mesi fa