Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crea un ruolo di servizio personalizzato per l'inferenza in batch
Per utilizzare un ruolo di servizio personalizzato per gli agenti anziché quello che Amazon Bedrock crea automaticamente per te in AWS Management Console, crea un IAM ruolo e assegna le seguenti autorizzazioni seguendo la procedura descritta in Creazione di un ruolo per delegare le autorizzazioni a un servizio. AWS
Argomenti
Relazione di attendibilità
La seguente politica di affidabilità consente ad Amazon Bedrock di assumere questo ruolo e inviare e gestire lavori di inferenza in batch. Sostituisci il file values se necessario. La policy contiene chiavi di condizione opzionali (vedi Condition keys for Amazon Bedrock e AWS global condition context keys) nel Condition campo che ti consigliamo di utilizzare come best practice di sicurezza.
Nota
Come best practice per motivi di sicurezza, sostituiscili * con un processo di inferenza in batch specifico IDs dopo averli creati.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "${AccountId}" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*" } } } ] }
Autorizzazioni basate sull'identità per il ruolo del servizio di inferenza in batch.
I seguenti argomenti descrivono e forniscono esempi di politiche di autorizzazione che potrebbe essere necessario associare al ruolo personalizzato del servizio di inferenza in batch, a seconda del caso d'uso.
Argomenti
(Obbligatorio) Autorizzazioni per accedere ai dati di input e output in Amazon S3
Per consentire a un ruolo di servizio di accedere al bucket Amazon S3 contenente i dati di input e al bucket in cui scrivere i dati di output, allega la seguente policy al ruolo di servizio. Sostituire values se necessario.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Access", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::${InputBucket}", "arn:aws:s3:::${InputBucket}/*", "arn:aws:s3:::${OutputBucket}", "arn:aws:s3:::${OutputBucket}/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": [ "${AccountId}" ] } } } ] }
(Facoltativo) Autorizzazioni per eseguire inferenze in batch con profili di inferenza
Per eseguire l'inferenza in batch con un profilo di inferenza, un ruolo di servizio deve disporre delle autorizzazioni per richiamare il profilo di inferenza in una Regione AWS, oltre al modello in ogni regione del profilo di inferenza.
Per le autorizzazioni da richiamare con un profilo di inferenza interregionale (definito dal sistema), utilizzate la seguente politica come modello per la politica di autorizzazioni da allegare al vostro ruolo di servizio:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossRegionInference", "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:${Region}:${AccountId}:inference-profile/${InferenceProfileId}", "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}", "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}", ... ] } ] }
Per le autorizzazioni da richiamare con un profilo di inferenza dell'applicazione, utilizzate la seguente policy come modello per la policy di autorizzazione da associare al vostro ruolo di servizio:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ApplicationInferenceProfile", "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:${Region}:${AccountId}:application-inference-profile/${InferenceProfileId}", "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}", "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}", ... ] } ] }
