Création d’un rôle de service pour l’inférence par lots - Amazon Bedrock
Relation d’approbationAutorisations basées sur l’identité pour le rôle de service d’inférence par lots.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d’un rôle de service pour l’inférence par lots

Pour utiliser un rôle de service personnalisé pour l'inférence par lots au lieu de celui qu'Amazon Bedrock crée automatiquement pour vous dans leAWS Management Console, créez un rôle IAM et associez les autorisations suivantes en suivant les étapes de la section Création d'un rôle pour déléguer des autorisations à un service. AWS

Relation d’approbation

La stratégie d’approbation suivante autorise Amazon Bedrock à endosser ce rôle et à effectuer des tâches d’inférence par lots. Remplacez-les values si nécessaire. La politique contient des clés de condition facultatives (consultez Clés de condition pour Amazon Bedrock et Clés de contexte de condition globale AWS) dans le champ Condition que nous vous recommandons d’utiliser comme bonne pratique de sécurité.

Note

Pour des raisons de sécurité, remplacez les * tâches d'inférence par lots spécifiques une IDs fois que vous les avez créées.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
                }
            }
        }
    ]
}

Autorisations basées sur l’identité pour le rôle de service d’inférence par lots.

Les rubriques suivantes décrivent et fournissent des exemples de politiques d’autorisation que vous devrez peut-être associer à votre rôle de service d’inférence par lots personnalisé, en fonction de votre cas d’utilisation.

(Obligatoire) Autorisations d’accès aux données d’entrée et de sortie dans Amazon S3

Pour autoriser un rôle de service à accéder au compartiment Amazon S3 contenant vos données d’entrée et au compartiment dans lequel écrire vos données de sortie, associez la politique suivante au rôle de service. valuesRemplacez-le si nécessaire.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
         "Sid": "S3Access",
         "Effect": "Allow",
         "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::${InputBucket}",
            "arn:aws:s3:::${InputBucket}/*",
            "arn:aws:s3:::${OutputBucket}",
            "arn:aws:s3:::${OutputBucket}/*"
         ],
         "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": [
                    "123456789012"
                ]
            }
         }
        }
    ]
}

(Facultatif) Autorisations d’exécuter une inférence par lots avec des profils d’inférence

Pour exécuter une inférence par lots avec un profil d'inférence, un rôle de service doit être autorisé à invoquer le profil d'inférence dans unRégion AWS, en plus du modèle de chaque région du profil d'inférence.

Pour obtenir les autorisations nécessaires à l’invocation d’un profil d’inférence entre régions (défini par le système), utilisez la stratégie suivante comme modèle pour la stratégie d’autorisation à associer à votre rôle de service :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossRegionInference",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
            ]
        }
    ]
}

Pour obtenir les autorisations nécessaires à l’invocation d’un profil d’inférence d’application, utilisez la stratégie suivante comme modèle pour la stratégie d’autorisation à associer à votre rôle de service :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ApplicationInferenceProfile",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
            ]
        }
    ]
}