Creación de un rol de servicio personalizado para la inferencia en lotes - Amazon Bedrock
Relación de confianzaPermisos basados en identidades para el rol de servicio de inferencia por lotes.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de un rol de servicio personalizado para la inferencia en lotes

Para utilizar un rol de servicio personalizado para la inferencia por lotes en lugar del que Amazon Bedrock crea automáticamente para usted en elConsola de administración de AWS, cree un rol de IAM y adjunte los siguientes permisos siguiendo los pasos que se indican en Crear un rol para delegar permisos a un servicio. AWS

Relación de confianza

La siguiente política permite que Amazon Bedrock asuma este rol y realice trabajos de inferencia por lotes. Sustituya esta opción según sea necesariovalues. La política contiene claves de condición opcionales (consulte Claves de condición para Amazon Bedrock y Claves de contexto de condición globales de AWS) en el campo Condition que es una práctica de seguridad que recomendamos.

nota

Como práctica recomendada por motivos de seguridad, sustituya el * trabajo por uno de inferencia por lotes específico una IDs vez que lo haya creado.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
                }
            }
        }
    ]
}

Permisos basados en identidades para el rol de servicio de inferencia por lotes.

En los temas siguientes se describen y proporcionan ejemplos de políticas de permisos que puede que necesite asociar a su rol de servicio de inferencia en lotes personalizada, según su caso de uso.

(Obligatorio) Permisos para acceder a los datos de entrada y salida en Amazon S3

Para permitir que un rol de servicio acceda al bucket de Amazon S3 que contiene los datos de entrada y al bucket en el que se escriben los datos de salida, asocie la siguiente política al rol de servicio. valuesSustitúyalo según sea necesario.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
         "Sid": "S3Access",
         "Effect": "Allow",
         "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::${InputBucket}",
            "arn:aws:s3:::${InputBucket}/*",
            "arn:aws:s3:::${OutputBucket}",
            "arn:aws:s3:::${OutputBucket}/*"
         ],
         "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": [
                    "123456789012"
                ]
            }
         }
        }
    ]
}

(Opcional) Permisos para ejecutar la inferencia en lotes con perfiles de inferencia

Para ejecutar una inferencia por lotes con un perfil de inferencia, un rol de servicio debe tener permisos para invocar el perfil de inferencia en una región del perfil de inferenciaRegión de AWS, además del modelo de cada región.

Para los permisos que se deben invocar con un perfil de inferencia entre regiones (definido por el sistema), utilice la siguiente política como plantilla para la política de permisos que debe asociar a su rol de servicio:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossRegionInference",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
            ]
        }
    ]
}

Para los permisos que se deben invocar con un perfil de inferencia de aplicación, utilice la siguiente política como plantilla para la política de permisos que debe asociar a su rol de servicio:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ApplicationInferenceProfile",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
            ]
        }
    ]
}