Création d'un rôle de service pour l'inférence par lots - Amazon Bedrock

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un rôle de service pour l'inférence par lots

Pour utiliser un rôle de service personnalisé pour les agents au lieu de celui créé automatiquement par Amazon Bedrock, créez un IAM rôle et associez les autorisations suivantes en suivant les étapes de la section Création d'un rôle pour déléguer des autorisations à un AWS service  :

  • Politique d’approbation

  • Une politique contenant les autorisations basées sur l'identité suivantes

    • Accédez aux compartiments Amazon S3 contenant les données d’entrée pour vos tâches d’inférence par lots et pour écrire les données de sortie.

Que vous utilisiez un rôle personnalisé ou non, vous devez également associer une politique basée sur les ressources aux fonctions Lambda pour les groupes d'actions de vos agents afin de permettre au rôle de service d'accéder aux fonctions. Pour de plus amples informations, veuillez consulter Politique basée sur les ressources permettant à Amazon Bedrock d'invoquer une fonction Lambda de groupe d'actions.

Relation d'approbation

La politique de confiance suivante permet à Amazon Bedrock d'assumer ce rôle et de soumettre et de gérer des tâches d'inférence par lots. Remplacez le values si nécessaire. La politique contient des clés de condition facultatives (voir Clés de condition pour Amazon Bedrock et AWS condition globale (clés contextuelles) dans le Condition champ que nous vous recommandons d'utiliser comme meilleure pratique de sécurité.

Note

À titre de bonne pratique pour des raisons de sécurité, remplacez le * avec une tâche d'inférence par lots spécifique une IDs fois que vous les avez créées.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*" } } } ] }

Autorisations basées sur l'identité pour le rôle de service d'inférence par lots.

Joignez la politique suivante pour fournir des autorisations pour le rôle de service, en remplaçant values si nécessaire. La politique contient les déclarations suivantes. Omettez une déclaration si elle ne s'applique pas à votre cas d'utilisation. La politique contient des clés de condition facultatives (voir Clés de condition pour Amazon Bedrock et AWS condition globale (clés contextuelles) dans le Condition champ que nous vous recommandons d'utiliser comme meilleure pratique de sécurité.

  • Autorisations d'accès au compartiment S3 contenant vos données d'entrée et au compartiment S3 dans lequel écrire vos données de sortie.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::my_input_bucket", "arn:aws:s3:::my_input_bucket/*", "arn:aws:s3:::my_output_bucket", "arn:aws:s3:::my_output_bucket/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": [ "account-id" ] } } } ] }