Configurar permissões para inferência em lote - Amazon Bedrock

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar permissões para inferência em lote

nota

A inferência em lote está em versão de pré-visualização e está sujeita a alterações. No momento, a inferência em lote só está disponível por meio da API. Acesse as APIs de lote por meio dos SDKs a seguir.

Recomendamos que você crie um ambiente virtual para usar o SDK. Como as APIs de inferência em lote não estão disponíveis nos SDKs mais recentes, recomendamos que você desinstale a versão mais recente do SDK do ambiente virtual antes de instalar a versão com as APIs de inferência em lote. Para ver um exemplo guiado, consulteExemplos de código.

Para configurar uma função para inferência em lote, crie uma função do IAM seguindo as etapas em Criar uma função para delegar permissões a um AWS serviço. Anexe as políticas a seguir à função:

  • Política de confiança

  • Acesso aos buckets do Amazon S3 que contêm os dados de entrada para os trabalhos de inferência em lote e para gravar os dados de saída.

  1. A política a seguir permite que o Amazon Bedrock assuma esse perfil e realize trabalhos de inferência em lote. Veja a seguir um exemplo de política que você pode usar. Você pode restringir o escopo da permissão usando uma ou mais chaves de contexto de condição globais. Para obter mais informações, consulte Chaves de contexto de condição globais da AWS. Defina o valor aws:SourceAccount para o ID da sua conta. Use a condição ArnEquals ou ArnLike para restringir o escopo.

    nota

    Como prática recomendada para fins de segurança, substitua o * por IDs de trabalho de inferência em lote específicos depois de criá-los.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
          "StringEquals": {
            "aws:SourceAccount": "account-id" 
          },
          "ArnEquals": {
            "aws:SourceArn": "arn:aws:bedrock:region:account-id:model-invocation-job/*"
          }
     }
    }
  ]
}

  2. Anexe a política a seguir para permitir que o Amazon Bedrock acesse o bucket do S3 que contém os dados de entrada para os trabalhos de inferência em lote (substitua my_input_bucket) e o bucket do S3 para gravar os dados de saída (substitua my_output_bucket). Substitua account-id pelo ID da conta do usuário ao qual você está fornecendo permissões de acesso ao bucket do S3.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::my_input_bucket",
        "arn:aws:s3:::my_input_bucket/*",
        "arn:aws:s3:::my_output_bucket",
        "arn:aws:s3:::my_output_bucket/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": [
            "account-id"
          ]
        }
      }
    }
  ]
}