Creazione di un ruolo di servizio per l’inferenza in batch - Amazon Bedrock
Relazione di attendibilitàAutorizzazioni basate su identità per il ruolo di servizio per l’inferenza in batch.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di un ruolo di servizio per l’inferenza in batch

Per utilizzare un ruolo di servizio personalizzato per l'inferenza in batch anziché quello che Amazon Bedrock crea automaticamente per te inConsole di gestione AWS, crea un ruolo IAM e assegna le seguenti autorizzazioni seguendo la procedura descritta in Creazione di un ruolo per delegare le autorizzazioni a un servizio. AWS

Relazione di attendibilità

La seguente policy di affidabilità consente ad Amazon Bedrock di assumere questo ruolo e di inviare e gestire processi di inferenza in batch. Sostituisci se necessario. values La policy contiene chiavi di condizione opzionali (vedi Chiavi di condizione Amazon Bedrock e chiavi di contesto delle condizioni globali AWS) nel campo Condition che ti consigliamo di utilizzare come best practice di sicurezza.

Nota

Come procedura consigliata per motivi di sicurezza, sostituiteli * con un processo di inferenza in batch specifico IDs dopo averli creati.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
                }
            }
        }
    ]
}

Autorizzazioni basate su identità per il ruolo di servizio per l’inferenza in batch.

Negli argomenti riportati di seguito vengono forniti e descritti esempi di policy di autorizzazione che potrebbe essere necessario collegare al ruolo di servizio personalizzato per l’inferenza in batch, a seconda del caso d’uso.

(Obbligatorio) Autorizzazioni per accedere ai dati di input e output in Amazon S3

Per consentire a un ruolo di servizio di accedere al bucket Amazon S3 che contiene i dati di input e al bucket in cui devono essere scritti, collega al ruolo di servizio la policy indicata di seguito. Sostituire values se necessario.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
         "Sid": "S3Access",
         "Effect": "Allow",
         "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::${InputBucket}",
            "arn:aws:s3:::${InputBucket}/*",
            "arn:aws:s3:::${OutputBucket}",
            "arn:aws:s3:::${OutputBucket}/*"
         ],
         "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": [
                    "123456789012"
                ]
            }
         }
        }
    ]
}

(Facoltativo) Autorizzazioni per eseguire l’inferenza in batch con profili di inferenza

Per eseguire l'inferenza in batch con un profilo di inferenza, un ruolo di servizio deve disporre delle autorizzazioni per richiamare il profilo di inferenza in un modelloRegione AWS, oltre al modello in ogni regione del profilo di inferenza.

Per le autorizzazioni da invocare con un profilo di inferenza tra Regioni (definito dal sistema), come modello per la policy di autorizzazioni da collegare al tuo ruolo di servizio utilizza la seguente policy:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossRegionInference",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
            ]
        }
    ]
}

Per le autorizzazioni da invocare con un profilo di inferenza dell’applicazione tra Regioni, come modello per la policy di autorizzazioni da collegare al tuo ruolo di servizio utilizza la seguente policy:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ApplicationInferenceProfile",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
            ]
        }
    ]
}