As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Crie uma função de serviço personalizada para inferência em lote
Para usar uma função de serviço personalizada para agentes em vez da que o Amazon Bedrock cria automaticamente para você no AWS Management Console, crie uma IAM função e anexe as seguintes permissões seguindo as etapas em Criar uma função para delegar permissões a um AWS serviço.
Tópicos
Relação de confiança
A política de confiança a seguir permite que o Amazon Bedrock assuma esse perfil e envie e gerencie trabalhos de inferência em lote. Substitua o values conforme necessário. A política contém chaves de condição opcionais (consulte Chaves de condição do Amazon Bedrock e Chaves de contexto de condição globais da AWS) no campo Condition que devem ser usadas como uma prática recomendada de segurança.
nota
Como prática recomendada para fins de segurança, substitua-os * por um trabalho de inferência em lote específico IDs depois de criá-los.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "bedrock.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "${AccountId}" }, "ArnEquals": { "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*" } } } ] }
Permissões baseadas em identidade para o perfil de serviço de inferência em lote.
Os tópicos a seguir descrevem e fornecem exemplos de políticas de permissões que talvez você precise anexar à sua função personalizada de serviço de inferência em lote, dependendo do seu caso de uso.
Tópicos
(Obrigatório) Permissões para acessar dados de entrada e saída no Amazon S3
Para permitir que uma função de serviço acesse o bucket do Amazon S3 contendo seus dados de entrada e o bucket no qual gravar seus dados de saída, anexe a seguinte política à função de serviço. valuesSubstitua conforme necessário.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Access", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::${InputBucket}", "arn:aws:s3:::${InputBucket}/*", "arn:aws:s3:::${OutputBucket}", "arn:aws:s3:::${OutputBucket}/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": [ "${AccountId}" ] } } } ] }
(Opcional) Permissões para executar inferência em lote com perfis de inferência
Para executar a inferência em lote com um perfil de inferência, uma função de serviço deve ter permissões para invocar o perfil de inferência em um Região da AWS, além do modelo em cada região do perfil de inferência.
Para obter permissões a serem invocadas com um perfil de inferência entre regiões (definido pelo sistema), use a política a seguir como modelo para a política de permissões a ser anexada à sua função de serviço:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossRegionInference", "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:${Region}:${AccountId}:inference-profile/${InferenceProfileId}", "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}", "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}", ... ] } ] }
Para obter permissões a serem invocadas com um perfil de inferência de aplicativo, use a política a seguir como modelo para a política de permissões a ser anexada à sua função de serviço:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ApplicationInferenceProfile", "Effect": "Allow", "Action": [ "bedrock:InvokeModel" ], "Resource": [ "arn:aws:bedrock:${Region}:${AccountId}:application-inference-profile/${InferenceProfileId}", "arn:aws:bedrock:${Region1}::foundation-model/${ModelId}", "arn:aws:bedrock:${Region2}::foundation-model/${ModelId}", ... ] } ] }
