Ir para o conteúdo
Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post
sobre o re:Post

Como soluciono o erro “AccessDeniedException” que recebo quando uso um perfil de inferência entre regiões da Amazon Bedrock em uma conta do Organizations?

2 minuto de leitura
0

Quando uso um perfil de inferência em uma conta do AWS Organizations para invocar um modelo de base entre regiões AWS no Amazon Bedrock, recebo o erro “AccessDeniedException”.

Breve descrição

O erro “AccessDeniedException” ocorre quando seu perfil do AWS Identity and Access Management (AWS IAM) não tem permissão para invocar a solicitação da API nas regiões de destino. Sua conta da AWS que é membro do AWS Organizations pode ter uma política de controle de serviços (SCP) que restringe o acesso aos serviços da Amazon Bedrock. Para solucionar esse problema, modifique as permissões da política do IAM.

Resolução

Pré-requisito: Solicitar acesso ao modelo de sua região de origem.

Modifique a política do IAM

Atualize sua SCP para incluir um dos exemplos a seguir de declarações de política.

Observação: nas declarações de política a seguir, substitua aa-example-1, aa-example-2 e aa-example-3 por suas regiões.

Negue acesso aos serviços e recursos da AWS de regiões especificadas, exceto Amazon Bedrock:

{
    "Version": "2012-10-17",
    "Statement": [
            {
            "Effect": "Deny",
            "NotAction": "bedrock:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": [
                        "aa-example-1",
                        "aa-example-2",
                        "aa-example-3"
                    ]
                }
            }
        }
    ]
}

Negue ações para invocar um modelo de base, exceto por meio do perfil de inferência nas regiões especificadas:

{
    "Version": "2012-10-17",
    "Statement": [
            {
            "Effect": "Deny",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": "arn:aws:bedrock:*::foundation-model/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": [
                        "aa-example-1",
                        "aa-example-2",
                        "aa-example-3"
                    ]
                },
                "ArnNotLike": {
                    "bedrock:InferenceProfileArn": [
                        "arn:aws:bedrock:*:*:application-inference-profile/*",
                        "arn:aws:bedrock:*:*:inference-profile/*"
                    ]
                }
            }
        }
    ]
}

Informações relacionadas

Exemplos de políticas baseadas em identidade para o Amazon Bedrock

Pré-requisitos para perfis de inferência

Implementing least privilege access for Amazon Bedrock (Implementando o acesso com privilégio mínimo para o Amazon Bedrock)

Enable Amazon Bedrock cross-Region inference in multi-account environments (Habilite a inferência entre regiões do Amazon Bedrock em ambientes com várias contas)

Tópicos
Machine Learning & AIGenerative AI on AWS
Tags
Amazon Bedrock
Idioma
Português
AWS OFICIALAtualizada há 3 meses
Sem comentários

Conteúdo relevante