Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création d'un rôle de service personnalisé pour l'inférence par lots
Pour utiliser un rôle de service personnalisé pour les agents au lieu de celui qu'Amazon Bedrock crée automatiquement pour vous dans le AWS Management Console, créez un IAM rôle et associez les autorisations suivantes en suivant les étapes de la section Création d'un rôle pour déléguer des autorisations à un AWS service.
Rubriques
Relation d'approbation
La politique de confiance suivante permet à Amazon Bedrock d'assumer ce rôle et de soumettre et de gérer des tâches d'inférence par lots. Remplacez-les values si nécessaire. La politique contient des clés de condition facultatives (voir Clés de condition pour Amazon Bedrock et clés contextuelles de condition AWS globale) dans le Condition champ que nous vous recommandons d'utiliser comme bonne pratique de sécurité.
Note
Pour des raisons de sécurité, il est recommandé de remplacer les tâches * d'inférence par lots spécifiques une IDs fois que vous les avez créées.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "${AccountId}" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*" } } } ] }
Autorisations basées sur l'identité pour le rôle de service d'inférence par lots.
Les rubriques suivantes décrivent et fournissent des exemples de politiques d'autorisation que vous devrez peut-être associer à votre rôle de service d'inférence par lots personnalisé, en fonction de votre cas d'utilisation.
Rubriques
(Obligatoire) Autorisations d'accès aux données d'entrée et de sortie dans Amazon S3
Pour autoriser un rôle de service à accéder au compartiment Amazon S3 contenant vos données d'entrée et au compartiment dans lequel écrire vos données de sortie, associez la politique suivante au rôle de service. valuesRemplacez-le si nécessaire.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Access", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::${InputBucket}", "arn:aws:s3:::${InputBucket}/*", "arn:aws:s3:::${OutputBucket}", "arn:aws:s3:::${OutputBucket}/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": [ "${AccountId}" ] } } } ] }
(Facultatif) Autorisations pour exécuter une inférence par lots avec des profils d'inférence
Pour exécuter une inférence par lots avec un profil d'inférence, un rôle de service doit être autorisé à invoquer le profil d'inférence dans un Région AWS, en plus du modèle de chaque région du profil d'inférence.
Pour les autorisations à invoquer avec un profil d'inférence interrégional (défini par le système), utilisez la politique suivante comme modèle pour la politique d'autorisations à associer à votre rôle de service :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossRegionInference", "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:${Region}:${AccountId}:inference-profile/${InferenceProfileId}", "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}", "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}", ... ] } ] }
Pour les autorisations à invoquer avec un profil d'inférence d'application, utilisez la politique suivante comme modèle pour la politique d'autorisations à associer à votre rôle de service :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ApplicationInferenceProfile", "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:${Region}:${AccountId}:application-inference-profile/${InferenceProfileId}", "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}", "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}", ... ] } ] }
