배치 추론을 위한 사용자 지정 서비스 역할 생성 - Amazon Bedrock
신뢰 관계배치 추론 서비스 역할에 대한 자격 증명 기반 권한입니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

배치 추론을 위한 사용자 지정 서비스 역할 생성

에서 Amazon Bedrock이 자동으로 생성하는 대신 에이전트에 대한 사용자 지정 서비스 역할을 사용하려면 AWS Management Console IAM, 서비스에 권한을 위임하는 역할 생성의 단계에 따라 역할을 생성하고 다음 권한을 연결합니다 AWS.

신뢰 관계

다음 신뢰 정책은 Amazon Bedrock이 이 역할을 맡아 배치 추론 작업을 제출하고 관리하도록 허용합니다. 필요에 values 따라를 교체합니다. 이 정책에는 보안 모범 사례로 사용할 것을 권장하는 선택적 조건 키(Amazon Bedrock의 조건 키AWS 전역 조건 컨텍스트 키 참조)가 Condition 필드에 포함되어 있습니다.

참고

보안을 위한 모범 사례로,를 생성한 IDs 후를 특정 배치 추론 작업*으로 바꿉니다.

{
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Principal": {
         "Service": "bedrock.amazonaws.com"
       },
       "Action": "sts:AssumeRole",
       "Condition": {
           "StringEquals": {
             "aws:SourceAccount": "${AccountId}" 
           },
           "ArnEquals": {
             "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*"
           }
      }
     }
   ]
}

배치 추론 서비스 역할에 대한 자격 증명 기반 권한입니다.

다음 주제에서는 사용 사례에 따라 사용자 지정 배치 추론 서비스 역할에 연결해야 할 수 있는 권한 정책의 예를 설명하고 제공합니다.

(필수) Amazon S3의 입력 및 출력 데이터에 액세스할 수 있는 권한

서비스 역할이 입력 데이터가 포함된 Amazon S3 버킷과 출력 데이터를 쓸 버킷에 액세스하도록 허용하려면 다음 정책을 서비스 역할에 연결합니다. 필요에 따라 values를 교체합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "S3Access",
         "Effect": "Allow",
         "Action": [
            "s3:GetObject",
            "s3:PutObject",
            "s3:ListBucket"
         ],
         "Resource": [
            "arn:aws:s3:::${InputBucket}",
            "arn:aws:s3:::${InputBucket}/*",
            "arn:aws:s3:::${OutputBucket}",
            "arn:aws:s3:::${OutputBucket}/*"
         ],
         "Condition": {
            "StringEquals": {
                "aws:ResourceAccount": [
                    "${AccountId}"
                ]
            }
         }
        }
    ]
}

(선택 사항) 추론 프로파일로 배치 추론을 실행할 수 있는 권한

추론 프로파일로 배치 추론을 실행하려면 추론 프로파일의 각 리전에 있는 모델 AWS 리전외에도 서비스 역할에에서 추론 프로파일을 호출할 권한이 있어야 합니다.

교차 리전(시스템 정의) 추론 프로필을 사용하여 호출할 수 있는 권한의 경우 다음 정책을 서비스 역할에 연결할 권한 정책의 템플릿으로 사용합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CrossRegionInference",
            "Effect": "Allow",
            "Action": [  
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:${Region}:${AccountId}:inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}",
                "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}",
            ...
            ]
        }
    ]
}

애플리케이션 추론 프로필로 호출할 수 있는 권한의 경우 다음 정책을 서비스 역할에 연결할 권한 정책의 템플릿으로 사용합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ApplicationInferenceProfile",
            "Effect": "Allow",
            "Action": [  
                "bedrock:InvokeModel"
            ],
            "Resource": [
                "arn:aws:bedrock:${Region}:${AccountId}:application-inference-profile/${InferenceProfileId}",
                "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}",
                "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}",
            ...
            ]
        }
    ]
}