Erstellen Sie eine benutzerdefinierte Servicerolle für Batch-Inferenz - Amazon Bedrock

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie eine benutzerdefinierte Servicerolle für Batch-Inferenz

Um eine benutzerdefinierte Servicerolle für Agenten anstelle der Rolle zu verwenden, die Amazon Bedrock automatisch für Sie in der erstellt AWS Management Console, erstellen Sie eine IAM Rolle und fügen Sie die folgenden Berechtigungen hinzu, indem Sie die Schritte unter Eine Rolle erstellen ausführen, um Berechtigungen an AWS einen Service zu delegieren.

Vertrauensstellung

Die folgende Vertrauensrichtlinie ermöglicht es Amazon Bedrock, diese Rolle zu übernehmen und Batch-Inferenzaufträge zu senden und zu verwalten. Ersetzen Sie die nach values Bedarf. Die Richtlinie enthält optionale Bedingungsschlüssel (siehe Bedingungsschlüssel für Amazon Bedrock und AWS globale Bedingungskontextschlüssel) in dem Condition Feld, deren Verwendung wir aus Sicherheitsgründen empfehlen.

Anmerkung

Aus Sicherheitsgründen empfiehlt es sich, den * Job durch einen bestimmten Batch-Inferenz-Job zu ersetzen, IDs nachdem Sie ihn erstellt haben.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "${AccountId}" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*" } } } ] }

Identitätsbasierte Berechtigungen für die Batch-Inferenzdienstrolle.

Die folgenden Themen beschreiben und enthalten Beispiele für Berechtigungsrichtlinien, die Sie je nach Anwendungsfall möglicherweise an Ihre benutzerdefinierte Batch-Inferenzdienstrolle anhängen müssen.

(Erforderlich) Berechtigungen für den Zugriff auf Eingabe- und Ausgabedaten in Amazon S3

Um einer Servicerolle den Zugriff auf den Amazon S3 S3-Bucket zu ermöglichen, der Ihre Eingabedaten enthält, und auf den Bucket, in den Ihre Ausgabedaten geschrieben werden sollen, fügen Sie der Servicerolle die folgende Richtlinie bei. Bei values Bedarf ersetzen.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Access", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::${InputBucket}", "arn:aws:s3:::${InputBucket}/*", "arn:aws:s3:::${OutputBucket}", "arn:aws:s3:::${OutputBucket}/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": [ "${AccountId}" ] } } } ] }

(Optional) Berechtigungen zum Ausführen von Batch-Inferenzen mit Inferenzprofilen

Um Batch-Inferenz mit einem Inferenzprofil auszuführen, muss eine Servicerolle zusätzlich zu dem Modell in jeder Region im Inferenzprofil über Berechtigungen zum Aufrufen des Inferenzprofils in einer AWS-Region verfügen.

Damit Berechtigungen mit einem regionsübergreifenden (systemdefinierten) Inferenzprofil aufgerufen werden können, verwenden Sie die folgende Richtlinie als Vorlage für die Berechtigungsrichtlinie, die Sie Ihrer Servicerolle zuordnen können:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossRegionInference", "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:${Region}:${AccountId}:inference-profile/${InferenceProfileId}", "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}", "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}", ... ] } ] }

Verwenden Sie für Berechtigungen zum Aufrufen mit einem Anwendungs-Inferenzprofil die folgende Richtlinie als Vorlage für die Berechtigungsrichtlinie, die Sie Ihrer Servicerolle zuordnen können:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ApplicationInferenceProfile", "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:${Region}:${AccountId}:application-inference-profile/${InferenceProfileId}", "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}", "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}", ... ] } ] }