Erstellen eine benutzerdefinierten Servicerolle für die Batch-Inferenz - Amazon Bedrock
VertrauensstellungIdentitätsbasierte Berechtigungen für die Batch-Inferenzservicerolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen eine benutzerdefinierten Servicerolle für die Batch-Inferenz

Um anstelle der, die Amazon Bedrock automatisch für Sie in der erstellt, eine benutzerdefinierte Servicerolle für Batch-Inferenz zu verwendenAWS-Managementkonsole, erstellen Sie eine IAM-Rolle und fügen Sie die folgenden Berechtigungen hinzu, indem Sie die Schritte unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen Service befolgen. AWS

Vertrauensstellung

Die folgende Vertrauensrichtlinie ermöglicht Amazon Bedrock das Übernehmen dieser Rolle sowie das Übermitteln und Verwalten von Batch-Inferenzaufträgen. Ersetzen Sie die nach Bedarf. values Die Richtlinie enthält optionale Bedingungsschlüssel (siehe Bedingungsschlüssel für Amazon Bedrock und Globale AWS-Bedingungskontextschlüssel) im Feld Condition, deren Verwendung wir aus Sicherheitsgründen empfehlen.

Anmerkung

Aus Sicherheitsgründen empfiehlt es sich, die Jobs IDs nach der Erstellung * durch einen bestimmten Batch-Inferenzjob zu ersetzen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
                }
            }
        }
    ]
}

Identitätsbasierte Berechtigungen für die Batch-Inferenzservicerolle

Die folgenden Themen beschreiben und enthalten Beispiele für Berechtigungsrichtlinien, die Sie je nach Anwendungsfall möglicherweise an Ihre benutzerdefinierte Batch-Inferenzservicerolle anhängen müssen.

(Erforderlich) Berechtigungen für den Zugriff auf Eingabe- und Ausgabedaten in Amazon S3

Damit eine Servicerolle auf den Amazon-S3-Bucket mit Ihren Eingabedaten und den Bucket, in den Ihre Ausgabedaten geschrieben werden sollen, zugreifen kann, hängen Sie die folgende Richtlinie an die Servicerolle an. Ersetzen Sie ihn nach values Bedarf.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
         "Sid": "S3Access",
         "Effect": "Allow",
         "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::${InputBucket}",
            "arn:aws:s3:::${InputBucket}/*",
            "arn:aws:s3:::${OutputBucket}",
            "arn:aws:s3:::${OutputBucket}/*"
         ],
         "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": [
                    "123456789012"
                ]
            }
         }
        }
    ]
}

(Optional) Berechtigungen zum Ausführen einer Batch-Inferenz mit Inferenzprofilen

Um Batch-Inferenz mit einem Inferenzprofil auszuführen, muss eine Servicerolle zusätzlich zum Modell in jeder Region des Inferenzprofils über Berechtigungen zum Aufrufen des Inferenzprofils in einer AWS-Region verfügen.

Damit Berechtigungen mit einem regionsübergreifenden (systemdefinierten) Inferenzprofil aufgerufen werden können, verwenden Sie die folgende Richtlinie als Vorlage für die Berechtigungsrichtlinie, die Sie an die Servicerolle anhängen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossRegionInference",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
            ]
        }
    ]
}

Verwenden Sie für Berechtigungen zum Aufrufen mit einem Anwendungsinferenzprofil die folgende Richtlinie als Vorlage für die Berechtigungsrichtlinie, die Sie an Ihre Servicerolle anhängen:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ApplicationInferenceProfile",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
            ]
        }
    ]
}