Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Creación de un rol de servicio personalizado para la inferencia en lotes
<a name="batch-iam-sr"></a>

Para utilizar un rol de servicio personalizado para la inferencia por lotes en lugar del que Amazon Bedrock crea automáticamente para usted en elConsola de administración de AWS, cree un rol de IAM y adjunte los siguientes permisos siguiendo los pasos que se indican en [Crear un rol para delegar permisos a](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) un servicio. AWS

**Topics**
+ [Relación de confianza](#batch-iam-sr-trust)
+ [Permisos basados en identidades para el rol de servicio de inferencia por lotes.](#batch-iam-sr-identity)

## Relación de confianza
<a name="batch-iam-sr-trust"></a>

La siguiente política permite que Amazon Bedrock asuma este rol y realice trabajos de inferencia por lotes. Sustituya esta opción según sea necesario{{values}}. La política contiene claves de condición opcionales (consulte [Claves de condición para Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) y [Claves de contexto de condición globales de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)) en el campo `Condition` que es una práctica de seguridad que recomendamos.

**nota**  
Como práctica recomendada por motivos de seguridad, sustituya el {{\*}} trabajo por uno de inferencia por lotes específico una IDs vez que lo haya creado.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "{{123456789012}}"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:model-invocation-job/{{*}}"
                }
            }
        }
    ]
}
```

------

## Permisos basados en identidades para el rol de servicio de inferencia por lotes.
<a name="batch-iam-sr-identity"></a>

En los temas siguientes se describen y proporcionan ejemplos de políticas de permisos que puede que necesite asociar a su rol de servicio de inferencia en lotes personalizada, según su caso de uso.

**Topics**
+ [(Obligatorio) Permisos para acceder a los datos de entrada y salida en Amazon S3](#batch-iam-sr-s3)
+ [(Opcional) Permisos para ejecutar la inferencia en lotes con perfiles de inferencia](#batch-iam-sr-ip)

### (Obligatorio) Permisos para acceder a los datos de entrada y salida en Amazon S3
<a name="batch-iam-sr-s3"></a>

Para permitir que un rol de servicio acceda al bucket de Amazon S3 que contiene los datos de entrada y al bucket en el que se escriben los datos de salida, asocie la siguiente política al rol de servicio. {{values}}Sustitúyalo según sea necesario.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
         "Sid": "S3Access",
         "Effect": "Allow",
         "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::{{${InputBucket}}}",
            "arn:aws:s3:::{{${InputBucket}/*}}",
            "arn:aws:s3:::{{${OutputBucket}}}",
            "arn:aws:s3:::{{${OutputBucket}/*}}"
         ],
         "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": [
                    "{{123456789012}}"
                ]
            }
         }
        }
    ]
}
```

------

### (Opcional) Permisos para ejecutar la inferencia en lotes con perfiles de inferencia
<a name="batch-iam-sr-ip"></a>

Para ejecutar una inferencia por lotes con un [perfil de inferencia](inference-profiles.md), un rol de servicio debe tener permisos para invocar el perfil de inferencia en una región del perfil de inferenciaRegión de AWS, además del modelo de cada región.

Para los permisos que se deben invocar con un perfil de inferencia entre regiones (definido por el sistema), utilice la siguiente política como plantilla para la política de permisos que debe asociar a su rol de servicio:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossRegionInference",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:inference-profile/{{${InferenceProfileId}}}",
                "arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}",
                "arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}"
            ]
        }
    ]
}
```

------

Para los permisos que se deben invocar con un perfil de inferencia de aplicación, utilice la siguiente política como plantilla para la política de permisos que debe asociar a su rol de servicio:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ApplicationInferenceProfile",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:application-inference-profile/{{${InferenceProfileId}}}",
                "arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}",
                "arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}"
            ]
        }
    ]
}
```

------