本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立批次推論的自訂服務角色
若要使用自訂服務角色進行批次推論,而不是 中自動為您建立的 Amazon BedrockAWS 管理主控台,請建立 IAM 角色,並依照[建立角色以將許可委派給 AWS服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)中的步驟連接下列許可。
**Topics**
+ [信任關係](#batch-iam-sr-trust)
+ [批次推論服務角色的身分型許可。](#batch-iam-sr-identity)
## 信任關係
下列信任政策允許 Amazon Bedrock 擔任此角色,並提交和管理批次推論任務。視需要取代這些{{值}}。政策包含 `Condition` 欄位中的選用條件索引鍵 (請參閱 [Amazon Bedrock 的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)和[AWS全域條件內容索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-policy-keys)),建議您將其用作安全最佳實務。
**注意**
為獲得安全的最佳實務,是在建立特定批次推論任務 ID 之後取代 {{\*}}。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:model-invocation-job/{{*}}"
}
}
}
]
}
```
------
## 批次推論服務角色的身分型許可。
下列主題說明並提供可能需要連接到自訂批次推論服務角色的許可政策範例,視您的使用案例而定。
**Topics**
+ [(必要) 在 Amazon S3 中存取輸入和輸出資料的許可](#batch-iam-sr-s3)
+ [(選用) 使用推論設定檔執行批次推論的許可](#batch-iam-sr-ip)
### (必要) 在 Amazon S3 中存取輸入和輸出資料的許可
若要允許服務角色存取包含輸入資料的 Amazon S3 儲存貯體,以及要寫入輸出資料的儲存貯體,請將下列政策連接至服務角色。視需要取代{{值}}。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Access",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::{{${InputBucket}}}",
"arn:aws:s3:::{{${InputBucket}/*}}",
"arn:aws:s3:::{{${OutputBucket}}}",
"arn:aws:s3:::{{${OutputBucket}/*}}"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": [
"{{123456789012}}"
]
}
}
}
]
}
```
------
### (選用) 使用推論設定檔執行批次推論的許可
若要使用推論[描述檔執行批次推論](inference-profiles.md),服務角色除了在推論描述檔中每個區域的模型之外AWS 區域,還必須具有在 中叫用推論描述檔的許可。
如需使用跨區域 (系統定義) 推論設定檔調用的許可,請使用下列政策作為許可政策的範本,以連接至服務角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossRegionInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:inference-profile/{{${InferenceProfileId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}"
]
}
]
}
```
------
如需使用應用程式推論設定檔調用的許可,請使用下列政策做為許可政策的範本,以連接至您的服務角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ApplicationInferenceProfile",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel"
],
"Resource": [
"arn:aws:bedrock:{{us-east-1}}:{{123456789012}}:application-inference-profile/{{${InferenceProfileId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}",
"arn:aws:bedrock:{{us-east-1}}::foundation-model/{{${ModelId}}}"
]
}
]
}
```
------