如何解决我在 Organizations 账户中使用 Amazon Bedrock 跨区域推理配置文件时收到的“AccessDeniedException”错误？

简短描述

当您的 AWS Identity and Access Management (IAM) 角色无权在目标区域调用 API 请求时，就会出现“AccessDeniedException”错误。作为 AWS Organizations 成员的AWS 账户可能有服务控制策略 (SCP)，限制对 Amazon Bedrock 服务的访问。要解决此问题，请修改 IAM 策略权限。

解决方法

**先决条件：**从您的来源区域申请模型访问权限。

修改 IAM 策略

更新您的 SCP 以包括以下策略声明示例之一。

**注意：**在以下策略声明中，将 aa-example-1、aa-example-2、aa-example-3 替换为您的区域。

拒绝访问除 Amazon Bedrock 以外的指定区域的 AWS 服务和资源：

{
    "Version": "2012-10-17",
    "Statement": [
            {
            "Effect": "Deny",
            "NotAction": "bedrock:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": [
                        "aa-example-1",
                        "aa-example-2",
                        "aa-example-3"
                    ]
                }
            }
        }
    ]
}

拒绝调用基础模型的操作，除非通过指定区域中的推理配置文件：

{
    "Version": "2012-10-17",
    "Statement": [
            {
            "Effect": "Deny",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": "arn:aws:bedrock:*::foundation-model/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": [
                        "aa-example-1",
                        "aa-example-2",
                        "aa-example-3"
                    ]
                },
                "ArnNotLike": {
                    "bedrock:InferenceProfileArn": [
                        "arn:aws:bedrock:*:*:application-inference-profile/*",
                        "arn:aws:bedrock:*:*:inference-profile/*"
                    ]
                }
            }
        }
    ]
}

相关信息

Amazon Bedrock 基于身份的策略示例

推理配置文件的先决条件

Implementing least privilege access for Amazon Bedrock（为 Amazon Bedrock 实施最低权限访问权限）

Enable Amazon Bedrock cross-Region inference in multi-account environments（在多账户环境中启用 Amazon Bedrock 跨区域推理）