Relazione di attendibilità Autorizzazioni basate sull'identità per il ruolo del servizio di inferenza in batch.

Creare un ruolo di servizio per l'inferenza in batch

Per utilizzare un ruolo di servizio personalizzato per gli agenti anziché quello creato automaticamente da Amazon Bedrock, crea un IAM ruolo e assegna le seguenti autorizzazioni seguendo la procedura descritta in Creazione di un ruolo per delegare le autorizzazioni a un AWSservizio:

Policy di attendibilità
Una politica contenente le seguenti autorizzazioni basate sull'identità
- Accedi ai bucket Amazon S3 contenenti i dati di input per i processi di inferenza in batch e per scrivere i dati di output.

Indipendentemente dal fatto che utilizzi o meno un ruolo personalizzato, devi anche allegare una policy basata sulle risorse alle funzioni Lambda per i gruppi di azioni dei tuoi agenti per fornire le autorizzazioni affinché il ruolo di servizio acceda alle funzioni. Per ulteriori informazioni, consulta Policy basata sulle risorse per consentire ad Amazon Bedrock di richiamare una funzione Lambda del gruppo di azioni.

Argomenti

Relazione di attendibilità
Autorizzazioni basate sull'identità per il ruolo del servizio di inferenza in batch.

Relazione di attendibilità

La seguente politica di affidabilità consente ad Amazon Bedrock di assumere questo ruolo e inviare e gestire lavori di inferenza in batch. Sostituisci il values se necessario. La policy contiene chiavi di condizione opzionali (vedi Condition keys for Amazon Bedrock e AWS global condition context keys) nel Condition campo che ti consigliamo di utilizzare come best practice di sicurezza.

Nota

Come procedura consigliata per motivi di sicurezza, sostituisci il * con un processo di inferenza batch specifico IDs dopo averli creati.


{
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Principal": {
         "Service": "bedrock.amazonaws.com"
       },
       "Action": "sts:AssumeRole",
       "Condition": {
           "StringEquals": {
             "aws:SourceAccount": "account-id" 
           },
           "ArnEquals": {
             "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*"
           }
      }
     }
   ]
}

Autorizzazioni basate sull'identità per il ruolo del servizio di inferenza in batch.

Allega la seguente politica per fornire le autorizzazioni per il ruolo di servizio, sostituendo values se necessario. La politica contiene le seguenti dichiarazioni. Ometti una dichiarazione se non è applicabile al tuo caso d'uso. La policy contiene chiavi di condizione opzionali (vedi Condition keys for Amazon Bedrock e AWS global condition context keys) nel Condition campo che ti consigliamo di utilizzare come best practice di sicurezza.

Autorizzazioni per accedere al bucket S3 contenente i dati di input e al bucket S3 in cui scrivere i dati di output.


{
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:ListBucket"
          ],
          "Resource": [
            "arn:aws:s3:::my_input_bucket",
            "arn:aws:s3:::my_input_bucket/*",
            "arn:aws:s3:::my_output_bucket",
            "arn:aws:s3:::my_output_bucket/*"
          ],
          "Condition": {
            "StringEquals": {
              "aws:ResourceAccount": [
                "account-id"
              ]
            }
          }
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Ruoli di servizio

Ruolo del servizio di personalizzazione del modello