Erstellen Sie eine Servicerolle für Batch-Inferenz - Amazon Bedrock
VertrauensstellungIdentitätsbasierte Berechtigungen für die Batch-Inferenzdienstrolle.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie eine Servicerolle für Batch-Inferenz

Um eine benutzerdefinierte Servicerolle für Agenten anstelle der automatisch von Amazon Bedrock erstellten zu verwenden, erstellen Sie eine IAM Rolle und fügen Sie die folgenden Berechtigungen hinzu, indem Sie die Schritte unter Erstellen einer Rolle zum Delegieren von Berechtigungen an ein AWS Service:

  • Vertrauensrichtlinie

  • Eine Richtlinie, die die folgenden identitätsbasierten Berechtigungen enthält

    • Zugriff auf die Amazon-S3-Buckets, die die Eingabedaten für Ihre Batch-Inferenzaufträge und zum Schreiben der Ausgabedaten enthalten.

Unabhängig davon, ob Sie eine benutzerdefinierte Rolle verwenden oder nicht, müssen Sie außerdem eine ressourcenbasierte Richtlinie an die Lambda-Funktionen für die Aktionsgruppen in Ihren Agenten anhängen, um der Servicerolle Berechtigungen für den Zugriff auf die Funktionen zu gewähren. Weitere Informationen finden Sie unter Ressourcenbasierte Richtlinie, die es Amazon Bedrock ermöglicht, eine Lambda-Funktion für Aktionsgruppen aufzurufen.

Vertrauensstellung

Die folgende Vertrauensrichtlinie ermöglicht es Amazon Bedrock, diese Rolle zu übernehmen und Batch-Inferenzaufträge zu senden und zu verwalten. Ersetzen Sie das values nach Bedarf. Die Richtlinie enthält optionale Zustandsschlüssel (siehe Bedingungsschlüssel für Amazon Bedrock) und AWS globale Bedingungskontextschlüssel) in dem Condition Feld, dessen Verwendung wir aus Sicherheitsgründen empfehlen.

Anmerkung

Als bewährte Methode aus Sicherheitsgründen ersetzen Sie den * durch einen bestimmten Batch-Inferenz-Job, IDs nachdem Sie sie erstellt haben.

{
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Principal": {
         "Service": "bedrock.amazonaws.com"
       },
       "Action": "sts:AssumeRole",
       "Condition": {
           "StringEquals": {
             "aws:SourceAccount": "account-id" 
           },
           "ArnEquals": {
             "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*"
           }
      }
     }
   ]
}

Identitätsbasierte Berechtigungen für die Batch-Inferenzdienstrolle.

Fügen Sie die folgende Richtlinie hinzu, um Berechtigungen für die Servicerolle bereitzustellen, und ersetzen Sie values nach Bedarf. Die Richtlinie enthält die folgenden Aussagen. Lassen Sie eine Aussage weg, wenn sie auf Ihren Anwendungsfall nicht zutrifft. Die Richtlinie enthält optionale Zustandsschlüssel (siehe Bedingungsschlüssel für Amazon Bedrock) und AWS globale Bedingungskontextschlüssel) in dem Condition Feld, dessen Verwendung wir aus Sicherheitsgründen empfehlen.

  • Berechtigungen für den Zugriff auf den S3-Bucket, der Ihre Eingabedaten enthält, und auf den S3-Bucket, in den Ihre Ausgabedaten geschrieben werden sollen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:ListBucket"
          ],
          "Resource": [
            "arn:aws:s3:::my_input_bucket",
            "arn:aws:s3:::my_input_bucket/*",
            "arn:aws:s3:::my_output_bucket",
            "arn:aws:s3:::my_output_bucket/*"
          ],
          "Condition": {
            "StringEquals": {
              "aws:ResourceAccount": [
                "account-id"
              ]
            }
          }
        }
    ]
}