翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# バッチ推論向けのサービスロールを作成する
で Amazon Bedrock が自動的に作成するロールではなく、バッチ推論にカスタムサービスロールを使用するにはAWS マネジメントコンソール、[AWS「 サービスにアクセス許可を委任するロールを作成する」の手順に従って IAM ロールを作成し、次のアクセス許可をアタッチします](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
**Topics**
+ [信頼関係](#batch-iam-sr-trust)
+ [バッチ推論サービスロールのアイデンティティベースのアクセス許可。](#batch-iam-sr-identity)
## 信頼関係
以下の信頼ポリシーでは、Amazon Bedrock がこのロールを引き受け、バッチ推論ジョブの送信と管理を行えます。必要に応じて{{値}}を置き換えます。このポリシーには、セキュリティのベストプラクティスとして使用することを推奨する `Condition` フィールドに、オプションの条件キー (「[Amazon Bedrock の条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)」および「[AWS のグローバル条件コンテキストキー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)」を参照) が含まれています。
**注記**
セキュリティ上のベストプラクティスとして、{{\*}} は特定のバッチ推論ジョブ ID に置き換えてください (作成後)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:model-invocation-job/{{*}}"
}
}
}
]
}
```
------
## バッチ推論サービスロールのアイデンティティベースのアクセス許可。
以下のトピックでは、ユースケースに応じてカスタムバッチ推論サービスロールにアタッチする必要があるアクセス許可ポリシーの例を提供して説明します。
**Topics**
+ [(必須) Amazon S3 の入出力データにアクセスするためのアクセス許可](#batch-iam-sr-s3)
+ [(オプション) 推論プロファイルを使用してバッチ推論を実行するためのアクセス許可](#batch-iam-sr-ip)
### (必須) Amazon S3 の入出力データにアクセスするためのアクセス許可
サービスロールが入力データと出力データを書き込むバケットを含む Amazon S3 バケットにアクセスできるようにするには、以下のポリシーをサービスロールにアタッチします。必要に応じて、{{values}} を置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Access",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{${InputBucket}}}",
"arn:aws:s3:::{{${InputBucket}/*}}",
"arn:aws:s3:::{{${OutputBucket}}}",
"arn:aws:s3:::{{${OutputBucket}/*}}"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": [
"{{123456789012}}"
]
}
}
}
]
}
```
------
### (オプション) 推論プロファイルを使用してバッチ推論を実行するためのアクセス許可
[推論プロファイル](inference-profiles.md)を使用してバッチ推論を実行するには、サービスロールに、推論プロファイルの各リージョンのモデルに加えてAWS リージョン、 で推論プロファイルを呼び出すアクセス許可が必要です。
クロスリージョン (システム定義) 推論プロファイルを使用して呼び出すためのアクセス許可については、サービスロールにアタッチするアクセス許可ポリシーのテンプレートとして次のポリシーを使用します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossRegionInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:inference-profile/{{${InferenceProfileId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}"
]
}
]
}
```
------
アプリケーション推論プロファイルを使用して呼び出すアクセス許可については、サービスロールにアタッチするアクセス許可ポリシーのテンプレートとして次のポリシーを使用します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ApplicationInferenceProfile",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:application-inference-profile/{{${InferenceProfileId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}"
]
}
]
}
```
------