保护 Amazon Bedrock 跨区域推理：地域性和全局性考量

随着组织在生产中大规模构建使用AI能力的生成式AI推理应用，其采用和实施正在不断增加。为了帮助客户实现生成式AI应用的规模化，Amazon Bedrock 提供了跨区域推理（CRIS）配置文件，这是一项强大的功能，组织可以利用它在多个AWS区域之间无缝分配推理处理。这项功能可以帮助您在扩展构建时获得更高的吞吐量，并在负载很高的情况下保持生成式AI应用的响应能力和可靠性。

在本文中，我们将探讨实施Amazon Bedrock跨区域推理配置文件的安全注意事项和最佳实践。无论您是正在构建生成式AI应用程序，还是需要满足特定的区域合规性要求，本指南都将帮助您了解Amazon Bedrock CRIS的安全架构以及如何正确配置您的实施。

推理配置文件基于两个关键概念运行：

• 源区域 (Source Region) – API请求发起的区域
• 目标区域 (Destination Region) – Amazon Bedrock可以将请求路由以进行推理的区域

当您在Amazon Bedrock中调用跨区域推理配置文件时，您的请求遵循智能路由路径。请求源于您发起API调用的源区域，并自动路由到推理配置文件中定义的目标区域之一。跨区域推理通过端到端加密数据传输的安全AWS网络运行。

关键区别在于，CRIS不会改变数据存储的位置——在使用跨区域推理时，任何客户数据都不会存储在任何目标区域中，客户管理的日志（如模型调用日志）、知识库和存储的配置将完全保留在源区域中。推理请求通过Amazon Bedrock管理的AWS全球网络传输，响应以加密形式返回给源区域中的您的应用程序。

Amazon Bedrock提供了两种类型的跨区域推理配置文件：

1. 地域跨区域推理 (Geographic cross-Region inference) – Amazon Bedrock会自动在定义的地理区域内（例如美国、欧盟、澳大利亚和日本）选择最佳区域来处理您的推理请求。此配置文件将推理处理维持在特定的地理边界内，这有助于组织解决区域数据驻留要求。
2. 全局跨区域推理 (Global cross-Region inference) – 全局CRIS通过允许推理请求路由到全球支持的商业区域，进一步增强了跨区域推理的能力，优化了可用资源并实现了更高的模型吞吐量。此配置文件将请求路由到全球所有支持的商业区域，不受地理限制。

如果您有严格的数据驻留或合规性要求，应仔细评估跨区域推理是否符合您的策略和法规，因为您的推理数据可能会根据推理配置文件中的定义，在多个预配置区域中进行处理。

IAM 权限要求和服务控制策略 (SCPs) 考量

默认情况下，您的AWS账户中的用户和角色没有权限创建、修改或使用Amazon Bedrock资源。访问可以通过两种主要机制进行控制：用于精细的用户和角色权限的AWS身份和访问管理 (IAM) 策略，以及用于组织范围的防护栏和限制的SCPs。要使用Amazon Bedrock CRIS，用户必须具备所需的IAM权限。如果SCP附加到您的账户，它们也必须允许所需的行为。本节将解释每种CRIS类型的具体要求摘要，以便您可以平衡安全、合规性和运营需求。下表比较了地域CRIS和全局CRIS，重点介绍了它们在IAM和SCP要求方面的关键优势和高层级差异。

理解地域CRIS和全局CRIS的SCP要求

在本节中，我们将概述SCP要求，并描述特定于区域的SCP条件在地域CRIS和全局CRIS配置文件之间行为的主要区别。

地域CRIS的SCP要求

许多组织在AWS Organizations中使用SCP实施区域访问控制，以确保安全和合规性。如果您的组织使用SCP来阻止未使用的区域，您必须确保您的特定于区域的SCP条件允许访问地理CRIS配置文件中列出的所有区域中的最小必需Amazon Bedrock权限，以便其正常运行。例如，美国Anthropic Claude Sonnet 4.5地域跨区域推理需要访问us-east-1、us-east-2和us-west-2。如果SCP仅将访问限制为us-east-1，则跨区域推理请求将失败。因此，您需要在SCP中明确允许所有三个区域，特别是为了进行Amazon Bedrock跨区域推理配置文件访问。为了提高安全性，请考虑使用bedrock:InferenceProfileArn条件来限制对特定推理配置文件的访问。有关示例策略，请参阅在多账户环境中启用Amazon Bedrock跨区域推理。

全局CRIS的SCP要求

您可以使用SCP作为组织范围的控制。如果您的组织使用特定于区域的SCP，请确保“aws:RequestedRegion”: “unspecified”未包含在拒绝的区域列表中，因为全局CRIS请求使用此区域值。此条件特定于Amazon Bedrock全局跨区域推理，不会影响其他AWS服务API调用。

例如，如果您有一个SCP，根据您的合规性要求，将除少数批准的区域（如us-east-1、us-east-2或ap-southeast-2）之外的所有AWS区域的访问都阻止了。在这种情况下，为了在为其他服务维护区域限制的同时允许全局跨区域推理功能，您必须在允许的区域列表中包含“unspecified”，专门针对Amazon Bedrock操作。为此，首先将Amazon Bedrock API调用从更广泛的特定区域SCP中排除，并添加一个单独的Amazon Bedrock操作语句，将允许的区域列表扩展到包括“unspecified”。

以下示例SCP用两个语句演示了这种方法：

{ "Version": "2012-10-17", "Statement": [ { // ⚠️ 在此处排除Bedrock，以启用单独的策略控制 "Sid": "DenyServicesOutsideAllowedRegions", "Effect": "Deny", "NotAction": [ "bedrock:*", "iam:*", "organizations:*", "route53:*", "cloudfront:*", "support:*", [Truncated] "account:*" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": [ "ap-southeast-2", "us-east-1", "us-west-2" ] } } }, { // ⚠️ 添加此语句以启用全局CRIS "Sid": "DenyBedrockOutsideAllowedRegions", "Effect": "Deny", "Action": "bedrock:*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": [ "ap-southeast-2", "us-east-1", "us-west-2", "unspecified" ] } } } ]
}

第一个语句拒绝了除三个批准的区域（ap-southeast-2、us-east-1、us-west-2）外的所有AWS服务，但Amazon Bedrock除外（在NotAction列表中指定）。这种排除意味着Amazon Bedrock不受与其他服务相同的区域限制，允许它由其自己的专用策略语句来管理。

第二个语句专门处理Amazon Bedrock，允许它在批准的三个区域以及“unspecified”（用于全局CRIS功能）中运行。

您需要更新允许的区域列表以匹配您组织批准的区域，并在使用此策略之前删除内联注释（//）。

地域和全局跨区域推理的IAM策略要求

在本节中，我们将概述地域和全局跨区域推理的IAM策略要求。

地域CRIS的IAM策略要求

要允许IAM用户或角色调用地域跨区域推理配置文件，您可以使用以下示例策略。此示例策略授予了使用Claude Sonnet 4.5基础模型 (FM) 和地域跨区域推理配置文件的必要权限，其中源区域是美国东部（弗吉尼亚北部）– us-east-1，配置文件中的目标区域是美国东部（弗吉尼亚北部）– us-east-1、美国东部（俄亥俄州）–

us-east-2和美国西部（俄勒冈州）– us-west-2。要查看所有可用跨区域推理配置文件、支持的模型、源区域和目标区域的完整列表，请参阅Amazon Bedrock用户指南中的推理配置文件的支持区域和模型。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GrantGeoCrisInferenceProfileAccess", "Effect": "Allow", "Action": "bedrock:InvokeModel", "Resource": [ "arn:aws:bedrock:us-east-1:<ACCOUNT_ID>:inference-profile/us.anthropic.claude-sonnet-4-5-20250929-v1:0" ] }, { "Sid": "GrantGeoCrisModelAccess", "Effect": "Allow", "Action": "bedrock:InvokeModel", "Resource": [ "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-sonnet-4-5-20250929-v1:0", "arn:aws:bedrock:us-east-2::foundation-model/anthropic.claude-sonnet-4-5-20250929-v1:0", "arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-sonnet-4-5-20250929-v1:0" ], "Condition": { "StringEquals": { "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-east-1:<ACCOUNT_ID>:inference-profile/us.anthropic.claude-sonnet-4-5-20250929-v1:0" } } } ]
}

第一个语句授予bedrock:InvokeModel API访问权限以进行源自请求区域（us-east-1）的地域跨区域推理。第二个语句授予bedrock:InvokeModel API访问权限给请求区域和推理配置文件中列出的所有目标区域（us-east-1、us-east-2和us-west-2）中的FM。

您需要将占位符<ACCOUNT_ID>替换为您的实际AWS账户ID。确认区域代码（us-east-1、us-east-2、us-west-2）、模型标识符（anthropic.claude-sonnet-4-5-20250929-v1:0）和推理配置文件Amazon 资源名称 (ARNs) 与您的特定部署要求和目标区域中可用的模型相匹配。

全局CRIS的IAM策略要求

地域CRIS和全局CRIS的IAM策略都需要访问源区域中的推理配置文件和基础模型。但是，对于全局CRIS，您在目标区域基础模型访问的条件中使用“aws:RequestedRegion”: “unspecified”，而地域CRIS则要求明确列出地理跨区域推理配置文件中列出的所有目标区域。

要允许IAM用户或角色调用全局跨区域推理配置文件，您可以使用以下示例策略。此示例策略授予了使用Claude Sonnet 4.5 FM和全局跨区域推理配置文件的必要权限，其中源区域是us-east-1。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GrantGlobalCrisInferenceProfileRegionAccess", "Effect": "Allow", "Action": "bedrock:InvokeModel", "Resource": [ "arn:aws:bedrock:us-east-1:<ACCOUNT_ID>:inference-profile/global.anthropic.claude-sonnet-4-5-20250929-v1:0" ] }, { "Sid": "GrantGlobalCrisInferenceProfileInRegionModelAccess", "Effect": "Allow", "Action": "bedrock:InvokeModel", "Resource": [ "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-sonnet-4-5-20250929-v1:0" ], "Condition": { "StringEquals": { "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-east-1:<ACCOUNT_ID>:inference-profile/global.anthropic.claude-sonnet-4-5-20250929-v1:0" } } }, { "Sid": "GrantGlobalCrisInferenceProfileGlobalModelAccess", "Effect": "Allow", "Action": "bedrock:InvokeModel", "Resource": [ "arn:aws:bedrock:::foundation-model/anthropic.claude-sonnet-4-5-20250929-v1:0" ], "Condition": { "StringEquals": { "aws:RequestedRegion": "unspecified", "bedrock:InferenceProfileArn": "arn:aws:bedrock:us-east-1:<ACCOUNT_ID>:inference-profile/global.anthropic.claude-sonnet-4-5-20250929-v1:0" } } } ]
}

在此策略中，第一个语句授予了在源区域us-east-1调用全局跨区域推理配置资源的权限。该配置文件使用global前缀表示跨区域路由。第二个语句允许在us-east-1区域调用全局基础模型，但仅当调用是通过指定的全局推理配置文件进行时。第三个语句允许使用无特定区域的ARN模式“arn:aws:bedrock:::foundation-model/anthropic.claude-sonnet-4-5-20250929-v1:0”在任何支持的AWS商业区域调用全局基础模型。为了限制对全局跨区域推理的访问，您可以使用条件“aws:RequestedRegion”: “unspecified”，它支持全局跨区域推理请求中的动态区域路由。此外，为了确认权限仅适用于特定的全局跨区域推理配置文件，您可以使用条件bedrock:InferenceProfileArn，其值为全局跨区域推理配置文件的ARN。有关IAM策略的更详细解释，请参阅使用Anthropic的Claude Sonnet 4.5在Amazon Bedrock上解锁新的全局跨区域推理以实现全局AI推理可扩展性。

您需要将<ACCOUNT_ID>替换为您的实际AWS账户ID。确认模型标识符（anthropic.claude-sonnet-4-5-20250929-v1:0）和推理配置文件ARN与您的特定要求以及可用于全局跨区域推理的模型相匹配。

禁用跨区域推理

具有数据驻留或合规性要求的组织应评估全局跨区域推理或地域跨区域推理是否适合其合规性框架，因为请求可能会在主要操作区域以外的其他支持的AWS区域中进行处理。对于需要禁用地域或全局跨区域推理的组织，您可以从以下方法中进行选择。

限制地域跨区域推理

实施拒绝SCP以限制AWS组织中所有AWS账户中所有IAM用户和角色的访问，这些账户以特定的地域跨区域推理配置文件为目标。此方法提供了组织范围的控制，并阻止了组织单元中所有账户中的特定地域跨区域推理配置文件，即使稍后添加了单独的IAM允许策略也是如此。

以下示例SCP明确拒绝了所有使用非美国地域配置文件的Amazon Bedrock推理配置文件调用。该策略使用Null条件设置为“false”，以确保仅在正在使用推理配置文件时才应用它，并且ArnNotLike条件作用于bedrock:InferenceProfileArn键，阻止了所有跨区域配置文件，除了那些带有美国前缀（us.*）的配置文件。两个条件必须为true，拒绝才会生效——这意味着策略只阻止正在使用推理配置文件并且该配置文件不是美国地域配置文件的请求。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyNonUSGeographicCRIS", "Effect": "Deny", "Action": "bedrock:*", "Resource": "*", "Condition": { "Null": { "bedrock:InferenceProfileArn": "false" }, "ArnNotLike": { "bedrock:InferenceProfileArn": [ "arn:aws:bedrock:*:*:inference-profile/us.*" ] } } } ] }

要为特定的IAM角色或用户限制地域跨区域推理，请防止将具有地域跨区域推理权限的IAM策略分配给特定的IAM用户或角色。

禁用全局跨区域推理

实施拒绝SCP以限制AWS组织中所有AWS账户中所有IAM用户和角色的访问，这些账户以全局跨区域推理配置文件为目标。此方法提供了组织范围的控制，并阻止了组织单元中所有账户中的全局跨区域推理功能，即使稍后添加了单独的IAM允许策略也是如此。以下示例SCP明确拒绝了全局跨区域推理，使用了“aws:RequestedRegion”: “unspecified”，并且“ArnLike”条件以global前缀作为ARN中的推理配置文件为目标。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "bedrock:*", "Resource": "*", "Condition": { "StringLike": { "aws:RequestedRegion": [ "unspecified" ] }, "ArnLike": { "bedrock:InferenceProfileArn": "arn:aws:bedrock:*:*:inference-profile/global.*" } } } ]
}

要为特定的IAM角色或用户限制全局跨区域推理，请防止将具有全局跨区域推理权限的IAM策略分配给特定的IAM用户或角色。

审计和监控

所有跨区域调用都在源区域中记录。AWS CloudTrail 条目包含一个额外的additionalEventData字段用于跟踪。以下是使用全局跨区域推理的InvokeModel API的CloudTrail日志示例，其中请求区域为ap-southeast-2，推理区域为ap-southeast-4。

{ "eventVersion": "1.11", [... Truncated ] "eventTime": "2025-10-02T01:55:04Z", "eventSource": "bedrock.amazonaws.com", "eventName": "InvokeModel", "awsRegion": "ap-southeast-2", [... Truncated ] "requestParameters": { "modelId": "global.anthropic.claude-sonnet-4-5-20250929-v1:0" }, "responseElements": null, "additionalEventData": { "inferenceRegion": "ap-southeast-4" } [... Truncated ]

使用AWS Control Tower的高级实施

如果您使用AWS Control Tower，则需要更新SCP以控制组织中的跨区域推理。

重要提示：强烈不建议手动编辑AWS Control Tower管理的SCP，因为它可能导致“漂移”。相反，您应该使用AWS Control Tower提供的机制来管理这些例外。

启用或禁用地域跨区域推理

要启用或禁用地域跨区域推理，请参阅在多账户环境中启用Amazon Bedrock跨区域推理。

如何禁用全局跨区域推理

要从组织级别禁用全局跨区域推理服务，您需要修改AWS Control Tower自动创建的SCP。使用AWS Control Tower的AWS Control Tower自定义设置 (CfCT) 来拒绝Amazon Bedrock对带有未指定名称的区域的操作，如以下示例所示。

{
    "Effect": "Deny",
    "Action": "bedrock:*",
    "Resource": "*",
    "Condition": {
        "StringLike": {
            "aws:RequestedRegion": [
              "unspecified"
            ]
        },
        "ArnLike": {
            "bedrock:InferenceProfileArn": "arn:aws:bedrock:*:*:inference-profile/global.*"
        }
    }
}

如何启用全局跨区域推理

要使用AWS Control Tower启用全局跨区域推理，您需要修改AWS Control Tower自动创建的SCP。使用CfCT进行此修改，因为AWS Control Tower本身不支持启用名为“unspecified”的区域。

以下是一个修改后的SCP示例，其中添加了“unspecified”以允许全局跨区域推理：

{
  "Version": "2012-10-17",
  "Statement": [
    {         "Condition": {
            "StringNotEquals": {
              "aws:RequestedRegion": [
                "ap-northeast-1",
                "ap-south-1",
                "ap-southeast-1",
                "ap-southeast-2",
                "us-east-1",
                ... [内容被截断]