バッチ推論用のカスタムサービスロールを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

で Amazon Bedrock が自動的に作成するロールの代わりにバッチ推論にカスタムサービスロールを使用するには AWS Management Console、AWS 「 サービスにアクセス許可を委任するロールの作成」の手順に従って IAM ロールを作成し、以下のアクセス許可をアタッチします。

信頼関係

以下の信頼ポリシーでは、Amazon Bedrock がこのロールを引き受け、バッチ推論ジョブの送信と管理を行えます。必要に応じて値を置き換えます。このポリシーには、セキュリティのベストプラクティスとして使用することを推奨する Condition フィールドに、オプションの条件キー (「Amazon Bedrock の条件キー」および「AWS のグローバル条件コンテキストキー」を参照) が含まれています。

{
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Principal": {
         "Service": "bedrock.amazonaws.com"
       },
       "Action": "sts:AssumeRole",
       "Condition": {
           "StringEquals": {
             "aws:SourceAccount": "${AccountId}" 
           },
           "ArnEquals": {
             "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*"
           }
      }
     }
   ]
}

バッチ推論サービスロールのアイデンティティベースのアクセス許可。

以下のトピックでは、ユースケースに応じてカスタムバッチ推論サービスロールにアタッチする必要があるアクセス許可ポリシーの例を説明し、説明します。

（必須) Amazon S3 の入力データと出力データにアクセスするためのアクセス許可

サービスロールが入力データと出力データを書き込むバケットを含む Amazon S3 バケットにアクセスできるようにするには、サービスロールに次のポリシーをアタッチします。必要に応じて値を置き換えます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "S3Access",
         "Effect": "Allow",
         "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::${InputBucket}",
            "arn:aws:s3:::${InputBucket}/*",
            "arn:aws:s3:::${OutputBucket}",
            "arn:aws:s3:::${OutputBucket}/*"
         ],
         "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": [
                    "${AccountId}"
                ]
            }
         }
        }
    ]
}

（オプション) 推論プロファイルを使用してバッチ推論を実行するアクセス許可

推論プロファイルを使用してバッチ推論を実行するには、サービスロールに、推論プロファイルの各リージョンのモデルに加えて AWS リージョン、 で推論プロファイルを呼び出すアクセス許可が必要です。

クロスリージョン (システム定義) 推論プロファイルで を呼び出すアクセス許可については、サービスロールにアタッチするアクセス許可ポリシーのテンプレートとして次のポリシーを使用します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossRegionInference",
            "Effect": "Allow",
            "Action": [  
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:${Region}:${AccountId}:inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}",
                "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}",
            ...
            ]
        }
    ]
}

アプリケーション推論プロファイルで を呼び出すアクセス許可については、サービスロールにアタッチするアクセス許可ポリシーのテンプレートとして次のポリシーを使用します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ApplicationInferenceProfile",
            "Effect": "Allow",
            "Action": [  
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:${Region}:${AccountId}:application-inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}",
                "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}",
            ...
            ]
        }
    ]
}