As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criar um perfil de serviço personalizado de inferência em lote
<a name="batch-iam-sr"></a>

Para usar uma função de serviço personalizada para inferência em lote em vez da que o Amazon Bedrock cria automaticamente para você noConsole de gerenciamento da AWS, crie uma função do IAM e anexe as seguintes permissões seguindo as etapas em [Criar uma função para delegar permissões a](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) um serviço. AWS

**Topics**
+ [Relação de confiança](#batch-iam-sr-trust)
+ [Permissões baseadas em identidade para o perfil de serviço de inferência em lote.](#batch-iam-sr-identity)

## Relação de confiança
<a name="batch-iam-sr-trust"></a>

A política de confiança a seguir permite que o Amazon Bedrock assuma esse perfil e envie e gerencie trabalhos de inferência em lote. Substitua o {{values}} conforme necessário. A política contém chaves de condição opcionais (consulte [Chaves de condição do Amazon Bedrock](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) e [Chaves de contexto de condição globais da AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)) no campo `Condition` que devem ser usadas como uma prática recomendada de segurança.

**nota**  
Como prática recomendada para fins de segurança, substitua-os {{\*}} por um trabalho de inferência em lote específico IDs depois de criá-los.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "{{123456789012}}"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:model-invocation-job/{{*}}"
                }
            }
        }
    ]
}
```

------

## Permissões baseadas em identidade para o perfil de serviço de inferência em lote.
<a name="batch-iam-sr-identity"></a>

Os tópicos a seguir descrevem e apresentam exemplos de políticas de permissões que talvez você precise anexar ao seu perfil de serviço personalizado de inferência em lote, dependendo do seu caso de uso.

**Topics**
+ [(Obrigatório) Permissões para acessar os dados de entrada e saída no Amazon S3](#batch-iam-sr-s3)
+ [(Opcional) Permissões para executar inferência em lote com perfis de inferência](#batch-iam-sr-ip)

### (Obrigatório) Permissões para acessar os dados de entrada e saída no Amazon S3
<a name="batch-iam-sr-s3"></a>

Para permitir que um perfil de serviço acesse o bucket do Amazon S3 que contém os dados de entrada e o bucket no qual gravar os dados de saída, anexe a política a seguir ao perfil de serviço. {{values}}Substitua conforme necessário.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
         "Sid": "S3Access",
         "Effect": "Allow",
         "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::{{${InputBucket}}}",
            "arn:aws:s3:::{{${InputBucket}/*}}",
            "arn:aws:s3:::{{${OutputBucket}}}",
            "arn:aws:s3:::{{${OutputBucket}/*}}"
         ],
         "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": [
                    "{{123456789012}}"
                ]
            }
         }
        }
    ]
}
```

------

### (Opcional) Permissões para executar inferência em lote com perfis de inferência
<a name="batch-iam-sr-ip"></a>

Para executar a inferência em lote com um [perfil de inferência](inference-profiles.md), uma função de serviço deve ter permissões para invocar o perfil de inferência em umRegião da AWS, além do modelo em cada região do perfil de inferência.

Para obter permissões a serem invocadas com um perfil de inferência entre regiões (definido pelo sistema), use a seguinte política como modelo para a política de permissões a ser anexada ao perfil de serviço:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossRegionInference",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:inference-profile/{{${InferenceProfileId}}}",
                "arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}",
                "arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}"
            ]
        }
    ]
}
```

------

Para obter permissões para invocar um perfil de inferência de aplicação, use a seguinte política como modelo para a política de permissões a ser anexada ao perfil de serviço:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ApplicationInferenceProfile",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:application-inference-profile/{{${InferenceProfileId}}}",
                "arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}",
                "arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}"
            ]
        }
    ]
}
```

------