Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Creazione di un ruolo di servizio per l’inferenza in batch
<a name="batch-iam-sr"></a>

Per utilizzare un ruolo di servizio personalizzato per l'inferenza in batch anziché quello che Amazon Bedrock crea automaticamente per te inConsole di gestione AWS, crea un ruolo IAM e assegna le seguenti autorizzazioni seguendo la procedura descritta in [Creazione di un ruolo per delegare le autorizzazioni a un](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) servizio. AWS

**Topics**
+ [Relazione di attendibilità](#batch-iam-sr-trust)
+ [Autorizzazioni basate su identità per il ruolo di servizio per l’inferenza in batch.](#batch-iam-sr-identity)

## Relazione di attendibilità
<a name="batch-iam-sr-trust"></a>

La seguente policy di affidabilità consente ad Amazon Bedrock di assumere questo ruolo e di inviare e gestire processi di inferenza in batch. Sostituisci se necessario. *values* La policy contiene chiavi di condizione opzionali (vedi [Chiavi di condizione Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) e [chiavi di contesto delle condizioni globali AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)) nel campo `Condition` che ti consigliamo di utilizzare come best practice di sicurezza.

**Nota**  
Come procedura consigliata per motivi di sicurezza, sostituiteli *\$1* con un processo di inferenza in batch specifico IDs dopo averli creati.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/*"
                }
            }
        }
    ]
}
```

------

## Autorizzazioni basate su identità per il ruolo di servizio per l’inferenza in batch.
<a name="batch-iam-sr-identity"></a>

Negli argomenti riportati di seguito vengono forniti e descritti esempi di policy di autorizzazione che potrebbe essere necessario collegare al ruolo di servizio personalizzato per l’inferenza in batch, a seconda del caso d’uso.

**Topics**
+ [(Obbligatorio) Autorizzazioni per accedere ai dati di input e output in Amazon S3](#batch-iam-sr-s3)
+ [(Facoltativo) Autorizzazioni per eseguire l’inferenza in batch con profili di inferenza](#batch-iam-sr-ip)

### (Obbligatorio) Autorizzazioni per accedere ai dati di input e output in Amazon S3
<a name="batch-iam-sr-s3"></a>

Per consentire a un ruolo di servizio di accedere al bucket Amazon S3 che contiene i dati di input e al bucket in cui devono essere scritti, collega al ruolo di servizio la policy indicata di seguito. Sostituire *values* se necessario.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
         "Sid": "S3Access",
         "Effect": "Allow",
         "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::${InputBucket}",
            "arn:aws:s3:::${InputBucket}/*",
            "arn:aws:s3:::${OutputBucket}",
            "arn:aws:s3:::${OutputBucket}/*"
         ],
         "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": [
                    "123456789012"
                ]
            }
         }
        }
    ]
}
```

------

### (Facoltativo) Autorizzazioni per eseguire l’inferenza in batch con profili di inferenza
<a name="batch-iam-sr-ip"></a>

Per eseguire l'inferenza in batch con un [profilo di inferenza](inference-profiles.md), un ruolo di servizio deve disporre delle autorizzazioni per richiamare il profilo di inferenza in un modelloRegione AWS, oltre al modello in ogni regione del profilo di inferenza.

Per le autorizzazioni da invocare con un profilo di inferenza tra Regioni (definito dal sistema), come modello per la policy di autorizzazioni da collegare al tuo ruolo di servizio utilizza la seguente policy:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossRegionInference",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
            ]
        }
    ]
}
```

------

Per le autorizzazioni da invocare con un profilo di inferenza dell’applicazione tra Regioni, come modello per la policy di autorizzazioni da collegare al tuo ruolo di servizio utilizza la seguente policy:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ApplicationInferenceProfile",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:us-east-1:123456789012:application-inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}",
                "arn:aws:bedrock:us-east-1::foundation-model/${ModelId}"
            ]
        }
    ]
}
```

------