翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
バッチ推論用のサービスロールを作成する
Amazon Bedrock が自動的に作成するロールではなく、エージェントのカスタムサービスロールを使用するには、IAM「 にアクセス許可を委任するロールの作成」の手順に従って ロールを作成し、次のアクセス許可をアタッチします。 AWS サービス:
-
信頼ポリシー
-
次のアイデンティティベースのアクセス許可を含むポリシー
-
バッチ推論ジョブの入力データを含む Amazon S3 バケットにアクセスし、出力データを書き込みます。
-
カスタムロールを使用するかどうかにかかわらず、エージェント内のアクショングループの Lambda 関数にリソースベースのポリシーをアタッチして、サービスロールが関数にアクセスするためのアクセス許可を提供する必要もあります。詳細については、「Amazon Bedrock がアクショングループ Lambda 関数を呼び出すことを許可するリソースベースのポリシー」を参照してください。
信頼関係
次の信頼ポリシーにより、Amazon Bedrock はこのロールを引き受け、バッチ推論ジョブを送信および管理できます。を置き換える values 必要に応じて。ポリシーにはオプションの条件キーが含まれています (「Amazon Bedrock および の条件キー」を参照してください。 AWS グローバル条件コンテキストキー ) Conditionは、セキュリティのベストプラクティスとして使用することをお勧めします。
注記
セキュリティ上のベストプラクティスとして、* 作成IDs後に特定のバッチ推論ジョブを使用する。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*" } } } ] }
バッチ推論サービスロールのアイデンティティベースのアクセス許可。
次のポリシーをアタッチして、サービスロールのアクセス許可を付与し、values 必要に応じて。ポリシーには、次のステートメントが含まれます。ユースケースに当てはまらない場合は、ステートメントを省略します。ポリシーにはオプションの条件キーが含まれています (「Amazon Bedrock および の条件キー」を参照してください。 AWS グローバル条件コンテキストキー ) Conditionは、セキュリティのベストプラクティスとして使用することをお勧めします。
-
入力データと出力データを書き込む S3 バケットを含む S3 バケットへのアクセス許可。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::my_input_bucket", "arn:aws:s3:::my_input_bucket/*", "arn:aws:s3:::my_output_bucket", "arn:aws:s3:::my_output_bucket/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": [ "account-id" ] } } } ] }
