Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Crear un rol de servicio personalizado para la inferencia por lotes
Para usar un rol de servicio personalizado para los agentes en lugar del que Amazon Bedrock crea automáticamente para usted AWS Management Console, cree un IAM rol y adjunte los siguientes permisos siguiendo los pasos que se indican en Crear un rol para delegar permisos a un AWS servicio.
Temas
Relación de confianza
La siguiente política permite que Amazon Bedrock asuma este rol y realice trabajos de inferencia por lotes. Sustituya esta opción values según sea necesario. La política contiene claves de condición opcionales (consulte Claves de condición para Amazon Bedrock y Claves de contexto de condición globales de AWS) en el campo Condition que es una práctica de seguridad que recomendamos.
nota
Como práctica recomendada por motivos de seguridad, sustituya el * trabajo por uno de inferencia por lotes específico una IDs vez que lo haya creado.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "${AccountId}" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*" } } } ] }
Permisos basados en identidades para el rol de servicio de inferencia por lotes.
En los siguientes temas se describen y proporcionan ejemplos de las políticas de permisos que podría necesitar adjuntar a su función de servicio de inferencia por lotes personalizada, según su caso de uso.
Temas
(Obligatorio) Permisos para acceder a los datos de entrada y salida en Amazon S3
Para permitir que un rol de servicio acceda al depósito de Amazon S3 que contiene sus datos de entrada y al depósito en el que escribir los datos de salida, adjunte la siguiente política al rol de servicio. valuesSustitúyalo según sea necesario.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Access", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::${InputBucket}", "arn:aws:s3:::${InputBucket}/*", "arn:aws:s3:::${OutputBucket}", "arn:aws:s3:::${OutputBucket}/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": [ "${AccountId}" ] } } } ] }
(Opcional) Permisos para ejecutar inferencias por lotes con perfiles de inferencia
Para ejecutar la inferencia por lotes con un perfil de inferencia, un rol de servicio debe tener permisos para invocar el perfil de inferencia en una región del perfil de inferencia Región de AWS, además del modelo.
Para invocar los permisos con un perfil de inferencia entre regiones (definido por el sistema), utilice la siguiente política como plantilla para la política de permisos que debe adjuntar a su función de servicio:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossRegionInference", "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:${Region}:${AccountId}:inference-profile/${InferenceProfileId}", "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}", "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}", ... ] } ] }
Para invocar los permisos con un perfil de inferencia de una aplicación, utilice la siguiente política como plantilla para la política de permisos que desee adjuntar a su función de servicio:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ApplicationInferenceProfile", "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:${Region}:${AccountId}:application-inference-profile/${InferenceProfileId}", "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}", "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}", ... ] } ] }
