本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 服务角色 Amazon Bedrock 使用 [IAM 服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)来支持某些功能,以便让 Amazon Bedrock 代表您执行任务。 控制台会自动为支持的功能创建服务角色。 您还可以创建自定义服务角色并根据您的特定应用场景定制附加的权限。如果您使用控制台,可以选择此角色,而不是让 Amazon Bedrock 为您创建一个角色。 要设置自定义服务角色,请执行以下一般步骤。 1. 按照创建角色中的步骤[创建角色以向 AWS 服务委派权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。 1. 附加**信任策略**。 1. 附加相关的**基于身份的权限**。 **重要** 设置 `iam:PassRole` 权限时,请确保用户所传递角色的权限不会超过您希望该用户拥有的权限。例如,Alice 不允许在自定义模型上执行 `bedrock:InvokeModel`。如果 Alice 可以将角色传递给 Amazon Bedrock 来创建对该自定义模型的评估,则服务可以在运行任务时代表 Alice 调用该模型。 请参阅以下链接,进一步了解与设置服务角色权限相关的 IAM 概念。 + [AWS 服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) + [基于身份的策略和基于资源的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) + [在 Lambda 中使用基于资源的策略](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) + [AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) + [Amazon Bedrock 的条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys) 选择一个主题,进一步了解特定功能的服务角色。 **Topics** + [为批量推理创建自定义服务角色](batch-iam-sr.md) + [为模型自定义创建服务角色](model-customization-iam-role.md) + [为导入预训练模型创建服务角色](model-import-iam-role.md) + [为 Amazon Bedrock 代理创建服务角色](agents-permissions.md) + [为 Amazon Bedrock 知识库创建服务角色](kb-permissions.md) + [在 Amazon Bedrock 中为 Amazon Bedrock 流创建服务角色](flows-permissions.md) + [模型评估作业的服务角色要求](model-evaluation-security-service-roles.md)