Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Buat peran layanan kustom untuk inferensi batch
Untuk menggunakan peran layanan khusus untuk agen, bukan yang dibuat Amazon Bedrock secara otomatis untuk Anda AWS Management Console, buat IAM peran dan lampirkan izin berikut dengan mengikuti langkah-langkah di Membuat peran untuk mendelegasikan izin ke layanan. AWS
Hubungan kepercayaan
Kebijakan kepercayaan berikut memungkinkan Amazon Bedrock untuk mengambil peran ini dan mengirimkan serta mengelola pekerjaan inferensi batch. Ganti values yang diperlukan. Kebijakan ini berisi kunci kondisi opsional (lihat Kunci kondisi untuk Amazon Bedrock dan kunci konteks kondisi AWS global) di Condition bidang yang kami sarankan Anda gunakan sebagai praktik terbaik keamanan.
catatan
Sebagai praktik terbaik untuk tujuan keamanan, ganti * dengan pekerjaan inferensi batch tertentu IDs setelah Anda membuatnya.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "${AccountId}" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*" } } } ] }
Izin berbasis identitas untuk peran layanan inferensi batch.
Topik berikut menjelaskan dan memberikan contoh kebijakan izin yang mungkin perlu Anda lampirkan ke peran layanan inferensi batch kustom Anda, tergantung pada kasus penggunaan Anda.
Topik
(Wajib) Izin untuk mengakses data input dan output di Amazon S3
Untuk mengizinkan peran layanan mengakses bucket Amazon S3 yang berisi data input dan bucket tempat menulis data keluaran, lampirkan kebijakan berikut ke peran layanan. Ganti values seperlunya.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Access", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::${InputBucket}", "arn:aws:s3:::${InputBucket}/*", "arn:aws:s3:::${OutputBucket}", "arn:aws:s3:::${OutputBucket}/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": [ "${AccountId}" ] } } } ] }
(Opsional) Izin untuk menjalankan inferensi batch dengan profil inferensi
Untuk menjalankan inferensi batch dengan profil inferensi, peran layanan harus memiliki izin untuk memanggil profil inferensi di Wilayah AWS, selain model di setiap Wilayah di profil inferensi.
Agar izin dipanggil dengan profil inferensi lintas wilayah (ditentukan sistem), gunakan kebijakan berikut sebagai templat untuk kebijakan izin yang akan dilampirkan ke peran layanan Anda:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossRegionInference", "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:${Region}:${AccountId}:inference-profile/${InferenceProfileId}", "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}", "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}", ... ] } ] }
Agar izin dipanggil dengan profil inferensi aplikasi, gunakan kebijakan berikut sebagai templat untuk kebijakan izin yang akan dilampirkan ke peran layanan Anda:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ApplicationInferenceProfile", "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:${Region}:${AccountId}:application-inference-profile/${InferenceProfileId}", "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}", "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}", ... ] } ] }
