Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Création d’un rôle de service pour l’inférence par lots
Pour utiliser un rôle de service personnalisé pour l'inférence par lots au lieu de celui qu'Amazon Bedrock crée automatiquement pour vous dans leAWS Management Console, créez un rôle IAM et associez les autorisations suivantes en suivant les étapes de la section [Création d'un rôle pour déléguer des autorisations à](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) un service. AWS
**Topics**
+ [Relation d’approbation](#batch-iam-sr-trust)
+ [Autorisations basées sur l’identité pour le rôle de service d’inférence par lots.](#batch-iam-sr-identity)
## Relation d’approbation
La stratégie d’approbation suivante autorise Amazon Bedrock à endosser ce rôle et à effectuer des tâches d’inférence par lots. Remplacez-les {{values}} si nécessaire. La politique contient des clés de condition facultatives (consultez [Clés de condition pour Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) et [Clés de contexte de condition globale AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)) dans le champ `Condition` que nous vous recommandons d’utiliser comme bonne pratique de sécurité.
**Note**
Pour des raisons de sécurité, remplacez les {{\*}} tâches d'inférence par lots spécifiques une IDs fois que vous les avez créées.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:model-invocation-job/{{*}}"
}
}
}
]
}
```
------
## Autorisations basées sur l’identité pour le rôle de service d’inférence par lots.
Les rubriques suivantes décrivent et fournissent des exemples de politiques d’autorisation que vous devrez peut-être associer à votre rôle de service d’inférence par lots personnalisé, en fonction de votre cas d’utilisation.
**Topics**
+ [(Obligatoire) Autorisations d’accès aux données d’entrée et de sortie dans Amazon S3](#batch-iam-sr-s3)
+ [(Facultatif) Autorisations d’exécuter une inférence par lots avec des profils d’inférence](#batch-iam-sr-ip)
### (Obligatoire) Autorisations d’accès aux données d’entrée et de sortie dans Amazon S3
Pour autoriser un rôle de service à accéder au compartiment Amazon S3 contenant vos données d’entrée et au compartiment dans lequel écrire vos données de sortie, associez la politique suivante au rôle de service. {{values}}Remplacez-le si nécessaire.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Access",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{${InputBucket}}}",
"arn:aws:s3:::{{${InputBucket}/*}}",
"arn:aws:s3:::{{${OutputBucket}}}",
"arn:aws:s3:::{{${OutputBucket}/*}}"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": [
"{{123456789012}}"
]
}
}
}
]
}
```
------
### (Facultatif) Autorisations d’exécuter une inférence par lots avec des profils d’inférence
Pour exécuter une inférence par lots avec un [profil d'inférence](inference-profiles.md), un rôle de service doit être autorisé à invoquer le profil d'inférence dans unRégion AWS, en plus du modèle de chaque région du profil d'inférence.
Pour obtenir les autorisations nécessaires à l’invocation d’un profil d’inférence entre régions (défini par le système), utilisez la stratégie suivante comme modèle pour la stratégie d’autorisation à associer à votre rôle de service :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossRegionInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:inference-profile/{{${InferenceProfileId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}"
]
}
]
}
```
------
Pour obtenir les autorisations nécessaires à l’invocation d’un profil d’inférence d’application, utilisez la stratégie suivante comme modèle pour la stratégie d’autorisation à associer à votre rôle de service :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ApplicationInferenceProfile",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:application-inference-profile/{{${InferenceProfileId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}"
]
}
]
}
```
------