Relación de confianza Permisos basados en la identidad para la función de servicio de inferencia por lotes.

Crear un rol de servicio para la inferencia por lotes

Para usar un rol de servicio personalizado para los agentes en lugar del que Amazon Bedrock crea automáticamente, cree un IAM rol y adjunte los siguientes permisos siguiendo los pasos que se indican en Crear un rol para delegar permisos a un AWS servicio:

Política de confianza
Una política que contenga los siguientes permisos basados en la identidad
- Acceda a los buckets de Amazon S3 que contienen los datos de entrada para sus trabajos de inferencia por lotes y para escribir los datos de salida.

Tanto si utiliza un rol personalizado como si no, también debe adjuntar una política basada en recursos a las funciones de Lambda para que los grupos de acción de sus agentes proporcionen permisos al rol de servicio para acceder a las funciones. Para obtener más información, consulte Política basada en recursos que permite a Amazon Bedrock invocar una función Lambda de un grupo de acciones.

Temas

Relación de confianza
Permisos basados en la identidad para la función de servicio de inferencia por lotes.

Relación de confianza

La siguiente política de confianza permite a Amazon Bedrock asumir esta función y enviar y gestionar trabajos de inferencia por lotes. Sustituya el values según sea necesario. La política contiene claves de condición opcionales (consulte las claves de condición de Amazon Bedrock y AWS condición global (claves de contexto) en el Condition campo que le recomendamos que utilice como práctica recomendada de seguridad.

nota

Como práctica recomendada por motivos de seguridad, sustituya la * con un trabajo de inferencia de lotes específico una IDs vez que los haya creado.


{
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Principal": {
         "Service": "bedrock.amazonaws.com"
       },
       "Action": "sts:AssumeRole",
       "Condition": {
           "StringEquals": {
             "aws:SourceAccount": "account-id" 
           },
           "ArnEquals": {
             "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*"
           }
      }
     }
   ]
}

Permisos basados en la identidad para la función de servicio de inferencia por lotes.

Adjunte la siguiente política para proporcionar permisos para la función de servicio, sustituyéndola values según sea necesario. La política contiene las siguientes declaraciones. Omite una declaración si no es aplicable a tu caso de uso. La política contiene claves de condición opcionales (consulte las claves de condición de Amazon Bedrock y AWS condición global (claves de contexto) en el Condition campo que le recomendamos que utilice como práctica recomendada de seguridad.

Permisos para acceder al depósito de S3 que contiene los datos de entrada y al depósito de S3 en el que se escriben los datos de salida.


{
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:ListBucket"
          ],
          "Resource": [
            "arn:aws:s3:::my_input_bucket",
            "arn:aws:s3:::my_input_bucket/*",
            "arn:aws:s3:::my_output_bucket",
            "arn:aws:s3:::my_output_bucket/*"
          ],
          "Condition": {
            "StringEquals": {
              "aws:ResourceAccount": [
                "account-id"
              ]
            }
          }
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Roles de servicio

Función de servicio de personalización de modelos