Configuración de permisos para la inferencia por lotes

nota

La inferencia por lotes está en versión de vista previa y sujeta a cambios. Actualmente, la inferencia por lotes solo está disponible a través de la API. Puede acceder a las API por lotes a través de los siguientes SDK.

Le recomendamos que cree un entorno virtual para usar el SDK. Como las API de inferencia por lotes no están disponibles en los SDK más recientes, le recomendamos que desinstale la última versión del SDK del entorno virtual antes de instalar la versión con las API de inferencia por lotes. Para ver un ejemplo guiado, consulte. Ejemplos de código

Para configurar un rol para la inferencia por lotes, cree un rol de IAM siguiendo los pasos que se indican en Crear un rol para delegar permisos a un AWS servicio. Asocie las políticas siguientes al rol:

Política de confianza
Acceda a los buckets de Amazon S3 que contienen los datos de entrada para sus trabajos de inferencia por lotes y para escribir los datos de salida.

La siguiente política permite a Amazon Bedrock asumir este rol y realizar trabajos de inferencia por lotes. A continuación, se muestra un ejemplo de política que puede utilizar. Puede restringir el alcance del permiso mediante una o más claves de contexto de condiciones globales. Para obtener más información, consulte Claves de contexto de condición globales de AWS. Configure el valor aws:SourceAccount en el ID de su cuenta. Utilice la condición ArnEquals o ArnLike para restringir el alcance.

nota
Como práctica recomendada por motivos de seguridad, sustituya el * por identificadores de ID de trabajos de inferencia por lotes específicos después de crearlos.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
          "StringEquals": {
            "aws:SourceAccount": "account-id" 
          },
          "ArnEquals": {
            "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*"
          }
     }
    }
  ]
}
```

Asocie la siguiente política para permitir que Amazon Bedrock acceda al bucket de S3 que contiene los datos de entrada para sus trabajos de inferencia por lotes (sustituya my_input_bucket) y al bucket de S3 para escribir los datos de salida (sustituya my_output_bucket). Sustituya el account-id por el ID de cuenta del usuario al que está proporcionando permisos de acceso al bucket de S3.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::my_input_bucket",
        "arn:aws:s3:::my_input_bucket/*",
        "arn:aws:s3:::my_output_bucket",
        "arn:aws:s3:::my_output_bucket/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": [
            "account-id"
          ]
        }
      }
    }
  ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejecución de inferencia por lotes

Configuración de datos